Não, não vai funcionar assim. Certificados adquiridos de CAs comerciais não são qualificados para assinar outros certificados. Para assinar outros certificados, seu certificado deve ter a extensão de certificado Basic Constraints
com isCA
bit definido como 1. No entanto, todos os certificados comprados de provedores comerciais têm esse bit definido como 0. Embora, tecnicamente, seja possível criá-los configuração, não vai funcionar, por causa da falha de validação do certificado.
Você deve adquirir um certificado separado para cada endereço de e-mail.
after installing CA on the domain controller: dc.domain.com
Apenas para observar: NUNCA instale a CA nos controladores de domínio. Se instalado, ele deve ser instalado em um servidor dedicado.