DirectAccess и обновление SSL с новым PKI?

Мы развернули DirectAccess в нашей сети для наших клиентов Windows 7/10, и он отлично работает. Проблема в том, что сертификаты сервера / клиента DA основаны на внутренней PKI, которую мы удаляем; мы создали еще один PKI (двухуровневый, автономный rootca и подчиненный CA), на который мы переносим все наши сертификаты.

Моя проблема заключается в переносе нашей инфраструктуры DA на новую PKI. Мне нужно будет выпустить новый шаблон сертификата компьютера для клиентских компьютеров (вместе со старым сертификатом компьютера, чтобы сохранить их существующие возможности DA); Затем, как только все клиенты получат сертификат компьютера от новой PKI, я обновлю сертификат на сервере DA.

Проблема (или недостаток знаний), с которой я столкнулся, заключается в том, что происходит потом? Смогут ли клиенты повторно подключиться к серверу DA, используя новые сертификаты, выданные новым PKI?

Или это будет плохо, пока они не подключатся к сети и не получат последнюю версию GPUPDATE.

Любой, кто пройдет через что-то подобное, захочет поделитесь своим опытом? Как я могу поступить лучше всего?