Supondo que o certificado das CAs ADCS associadas a um determinado domínio seja assinado por uma CA raiz offline, que é então confiável para todos os sistemas no domínio/floresta. Se essa raiz offline fosse usada para emitir/assinar um certificado de CA (sem restrições) e essa CA emitisse certificados de usuário/computador/cartão inteligente para recursos do domínio em questão, eles seriam confiáveis (ou seja, um certificado emitido desta forma trabalhar para autenticar no domínio)?
Responder1
Se todos os computadores no domínio confiarem na CA raiz, então, por definição, eles confiarão em todos os certificados assinados por ela, incluindo o de uma nova subCA.
No entanto, se a nova sub-CA não estiver integrada ao AD, alguns computadores ou aplicativos poderão ter problemas na validação de toda a cadeia de CA até a raiz; para corrigir isso, você pode implantar o certificado da sub-CA como Trusted Intermediate Certification Authorityum GPO.