Как просмотреть подписи, соответствующие параметру «Авторизованные подписи» в сертификате входа на смарт-карту из центра сертификации Windows

Я играю с ролью Windows Server CA и входами со смарт-картой. У нас есть работающая настройка PKI и работающая выдача / вход смарт-карт. Что мне интересно, так это опция «Требовать это количество авторизованных подписей» в «шаблоне входа на смарт-карту» и то, как просматривать подписи. На мой взгляд, эта опция полезна, поскольку для сертификата из этого шаблона потребуется авторизованная подпись от другого доверенного лица / стороны и не позволит произвольным людям выдавать сертификаты входа в систему со смарт-картой (при условии, что агент регистрации должным образом защищен). Я могу выдавать сертификаты, если этот флажок установлен, но я не знаю, как узнать, какой сертификат использовался для подписи сертификата входа в систему.

Мой сертификат подписи был взят из почти неотредактированной копии «Агента регистрации». шаблон сертификата, и выдается без проблем. Когда я выдаю сертификат входа в систему со смарт-картой, мне предлагается выбрать сертификат подписи (который является сертификатом агента регистрации), и после его выбора я могу выпустить сертификат входа в систему. Когда я проверяю сертификат (дважды щелкните сертификат в оснастке Windows CA), в цепочке отображается только мой CA, а сам сертификат находится прямо под ним. Я понимаю, что подписываю только сертификат, а не промежуточный ЦС, но не должно ли что-то из моего подписывающего сертификата появиться в цепочке / деталях?

certutil -scinfo показывает, что цепочка проверена и имеет два "CertContext" "записи, хотя ничего там, ни в цепочке проверки, ни где-либо в выходных данных нет, являются указанием на то, что я подписал сертификат.

tl; dr, если моя подпись требуется для выдачи сертификата, не следует ' Есть ли что-то, относящееся ко мне, в окончательных данных сертификата?