Registro automático do controlador de domínio - alterando a CA de emissão

quando os controladores de domínio renovarem automaticamente esses certificados acima, eles saberão examinar a CA subordinada para a renovação/emissão de um novo certificado com base nos modelos necessários para um controlador de domínio?

sim. Os clientes de inscrição enumerarão primeiro todas as CAs que dão suporte ao modelo solicitado do AD. Em seguida, o cliente escolherá a CA aleatória desta lista para enviar a solicitação de renovação. Ou seja, remover todos os modelos da CA raiz é bom, os clientes tentarão outra CA disponível que ofereça suporte a esse modelo.

ps embora eu considere converter a CA raiz corporativa (ingressada no domínio) para CA raiz autônoma (membro do grupo de trabalho) para que você possa desativar a CA raiz na maioria das vezes porque não tem nada a ver online. Você o ativaria uma ou duas vezes por ano para publicar a CRL ou quando precisar assinar o certificado de CA subordinado. Mas é outra questão, apenas uma boa maneira de seguir as melhores práticas.

Atualização 1 (21.01.2022)

As páginas do Microsoft Docs não mostram nada sobre como enumera as CAs, etc.

O cliente de inscrição chama o genérico IX509Enrollment::Enroll que realiza uma série de chamadas (etapas muito simplificadas):

Descoberta de CA usando [MS-XCEP]

1. Carregue uma lista de políticas do registro.
2. Políticas de grupo por atributo PolicyId .
3. Os grupos são classificados pelo atributo Custo e, em seguida, pelo atributo Autenticação . A autenticação Kerberos tem maior precedência. Os grupos de descanso são colocados em ordem arbitrária.
4. Consulte cada política chamando o método da web IPolicy::GetPoliciesResponse . A resposta contém uma lista de serviços web da CA
5. A resposta contém: uma lista de modelos de certificado que o chamador tem permissões para registrar e uma lista de pontos de extremidade de CA (que implementam o protocolo [MS-WSTEP] ) com as informações sobre os modelos de certificado com suporte.
6. preparar lista vazia.
7. para cada grupo de políticas classificado:
8. ordene as CAs pelo atributo Custo e, em seguida, pelo atributo Autenticação . A autenticação Kerberos tem maior precedência. Os grupos de descanso são colocados em ordem arbitrária. Elimine CAs para as quais o chamador não tem permissões. Anexar CAs ordenadas à lista na mesma ordem.
9. repita (8) até que todas as CAs sejam adicionadas à lista.
10. para cada CA na lista restante:
11. gerar solicitação de certificado e chamar ICertRequest::Submit para enviar solicitação para CA selecionada.
12. repita (11) até que a chamada seja bem-sucedida.

Descoberta de CA usando [MS-WCCE]

1. do-while chamada de ICertConfig::Next para enumerar todas as CAs descobertas automaticamente (locais, registradas no AD, armazenadas no diretório compartilhado etc.). Isso produzirá uma lista de todas as CAs possíveis.
2. Para cada cliente CA faz uma ICertRequest2::GetCAPropertychamada com CR_PROP_TEMPLATEScomo propIDparâmetro. Elimine CAs offline.
3. Lista de filtros obtida em (1) para eliminar CAs que não suportam o modelo solicitado.
4. se o reconhecimento de site da CA estiver configurado, filtre a lista de CAs que estão no mesmo site ADDS que o cliente. Não filtre se o reconhecimento do site da CA não estiver configurado ou se não houver CAs no mesmo site ADDS em que o cliente reside.
5. Chame ICertRequest::GetCACertificate para recuperar o certificado de CA e validar cada um. Elimine CAs com certificado inválido ou não confiável.
6. escolha CA arbitrária da lista restante, gere solicitação de certificado e chame ICertRequest::Submit para enviar solicitação à CA selecionada.

Novamente, é uma sequência de tarefas simplificada para o cliente de registro descobrir CAs e enviar solicitação de certificado.

Atualização 2

Você sabe o que afetará os certificados existentes que foram emitidos da SubCA existente após substituirmos a rootCA?

literalmente nada, desde que a CA raiz seja confiável para os clientes.