Доверие к сертификатам может (и обычно работает) независимо от AD.
Чтобы быть педантичным, если поддомен был поддоменом другого домена AD, доверительные отношения уже установлены, но я подозреваю, что вы настроили «поддомен» как новый домен в новом лесу. Хотя это и неудобно, но это должно сработать.
В любом случае, не говоря уже о AD, для аутентификации пользователя на веб-сайте с использованием сертификата клиента серверу необходимо доверять сертификату клиента для аутентификации, и ему нужен способ сопоставления сертификата субъекту безопасности (например, пользователю). Ваше текущее решение делает это, и поэтому оно правильное.
Если хотите, вы можете заставить пользователей (или их ИТ-отдел) отправлять вам экспортированные сертификаты в каком-либо формате (например, PEM) и информацию о том, какие сертификаты каким счетам соответствуют. Это может быть, а может и не быть проще и будет распространять точно такую же информацию, которая распространяется подписанным S / MIME электронным письмом.