Em relação à sua primeira resposta, estou sempre me perguntando isso. Eu testaria este cenário muito específico em seu laboratório! Acho que deve ser possível renovar o certificado com as mesmas chaves, mas com outra data de validade.
Em relação à CA de emissão (online) Sua VPN cisco deve verificar a cadeia de confiança até a CA raiz e depois reclamar sobre o período de validade da CA raiz.
Assim, você precisa renovar a CA raiz com as mesmas chaves e um período de validade mais curto OU precisa configurar uma segunda autoridade de certificação.