Как найти имя хоста CA из общего / санированного имени CA?

Среда Windows, ADCS и приложение.Net.

Получив сертификат, в атрибуте Issuer вы можете найти общее имя CA (например, "My Issuing CA"), но не имя хоста (issca.example.com).

Как получить имя хоста, чтобы создать строку конфигурации "issca.example.com\My Issuing CA"? Это исключительно из поиска LDAP (из Служб / Служб открытых ключей / Центров сертификации) или есть другие способы?

Что если со временем вы обновите свой ЦС (сохранив его общее имя, но изменив имя хоста на "newca"), всегда найдется "newca.example.com\My Issuing CA" или также "issca.example.com \ My". Выдающий CA "например, для сертификатов, выпущенных до обновления?

У нас есть приложение, которое делает именно это (попробуйте выполнить RPC для старого имени хоста, которое исчезло из сети). Мы "исправили" это, добавив DNS CNAME для issca, чтобы он указывал на newca, а также добавили SPN старого хоста к новому. Мы подозреваем, что само приложение хранит регистрацию того, какой сертификат был выдан на каком хосте, но поставщик отрицает это.

(И да - это поддерживаемый Microsoft сценарий для изменения имени хоста при обновлении / переносе CA документов Microsoft