Может ли центр сертификации Active Directory выдавать сертификаты для односторонних доверенных доменов?

Наша сеть состоит в основном из серверов Windows в нашем внутреннем домене, который управляется Active Directory (natch). У нас также есть небольшая группа серверов Linux, которые по определенным причинам управляются IDM. Также по причинам, IDM настроен с односторонним доверием к AD (IDM доверяет AD) для облегчения управления пользователями в одном месте (это не может быть изменено).

В настоящее время у нас есть три домена (имена изменены на защитить невиновных):

• internal.dom
• windows.internal.dom
• linux.internal.dom

linux.internal.dom поддерживается на сервере IDM, а два других находятся в AD. Поскольку доверие между IDM и AD одностороннее, оно не отображается в пользовательском интерфейсе AD. Остальные, конечно, видны в AD, поскольку там они и поддерживаются.

Мы настраиваем службы сертификации AD, чтобы мы могли выдавать сертификаты для каждого домена. Однако, поскольку linux.internal.dom находится в IDM, который имеет только одностороннее доверие и поэтому не отображается в AD, нельзя создавать сертификаты для него в пользовательском интерфейсе. В конечном счете, мы все равно не будем использовать пользовательский интерфейс, поскольку автоматизированный метод / метод сценария будет более эффективным.

Итак, теперь мой вопрос: возможно ли для AD CA выдать сертификат для (под) домена, который является не полностью доверяет? То есть сможем ли мы выдавать сертификаты для linux.internal.dom, даже если он не отображается в пользовательском интерфейсе AD?