Uma CA raiz pode ser facilmente transformada em uma CA corporativa, pois essa é a implantação que faz sentido em alguns cenários. Muitas implantações não querem ou precisam de uma raiz autónoma offline ou de quaisquer intermediários; esses podem funcionar muito bem com uma raiz corporativa. Digamos, por exemplo, se você não está emitindo mais do que alguns modelos de longa duração (portanto, a disponibilidade não é uma grande preocupação) e não precisa publicar CRLs frequentemente.
Eu estou bem aí com você, pois é um pouco fácil demais criar uma CA mal planejada - você desenvolve uma apreciação por quão cuidadosamente eles devem ser planejados depois de revisar a documentação, mas não é óbvio quando você está fazendo a instalação (e não me fale sobre a necessidade simultânea e a obscuridade de capolicy.inf - coloque essas coisas na GUI!).
Eu lidei com a limpeza dessas implantações semi-elaboradas mais do que eu gostaria de admitir, mas derrubá-las definitivamente é possível (certifique-se de que todos os clientes confiem na nova raiz, retire os modelos da CA antiga, bata a versão do modelo para forçar uma nova inscrição na nova AC); isso requer muito mais trabalho e planejamento cuidadoso do que foi colocado na implantação desleixada inicial.