Obrigado ao @CryptoGuy pela resposta de que minha CA Raiz havia emitido dois certificados para minha CA de emissão e é por isso que um dos certs tinha um (1) colocado no final.
Temos uma PKI ADCS de duas camadas e a CA intermediária tem a URL da AIA que termina em (1) (por exemplo: link ) que obviamente não existe. O modelo de URL nas propriedades da extensão de AC está correto, portanto, acredito que na última vez em que o certificado foi emitido, já havia um arquivo com o mesmo nome, de modo que foi adicionado (1) ao nome do arquivo. Como faço para "reemitir" o certificado para que o URL do AIA seja atualizado?
Saída CertUtil -GetReg:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\example-Issuing-CA\CACertPublicationURLs:
CACertPublicationURLs REG_MULTI_SZ =
0: 1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
CSURL_SERVERPUBLISH -- 1
1: 2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
CSURL_ADDTOCERTCDP -- 2
2: 2:http://pki.example.com/CertEnroll/%1_%3%4.crt
CSURL_ADDTOCERTCDP -- 2
CertUtil: -getreg command completed successfully.