вторичный fqdn для центра сертификации

У меня есть центр сертификации, который успешно обслуживает компьютерных клиентов, и NPS (и т. Д.) В порядке. В настоящее время мы планируем переместить некоторые службы за пределы периметра сети, и я хотел бы создать вторичный сертификат для пользователи а не компьютеры. Один ключ не должен открывать все двери, я знаю, что на личных устройствах для "особого" персонала есть приватные ключи и т. Д.

fqdn -> * .services.fqdn

Некоторые вопросы:

• Как мне создать поддомен для того же леса?
• Внешний сервер RADIUS не подключен к нашему домену (т.е. загрузил публичный сертификат и направил его на crl)
  • Сможет ли компьютерный сертификат пройти аутентификацию по подчиненному сертификату?
• Если кто-то делал что-то подобное раньше, мне лучше создать * .client.fqdn и * .services.fqdn
• Могу ли я использовать SCEP для сертификата FQDN?

Спасибо