В общем вопрос решил. Запросил у корневого ЦС сертификат, используя старую пару ключей. Запрос делал через оснастку "Центр сертификации".
Кстати, часть компьютеров автоматически поменяла сертификат (скорее просто по истечению срока старого автоматом запросил новый, как раз после обновления сертификата центра), но часть компьютеров оставалась со старым сертификатом (эти компьютеры делали запрос до обновления сертификата подчиненного ЦС). Чтобы назначить им обновленный сертификат "ручками", а не ждать повторного запроса от них, надо перейти в оснастку
"Центр сертификации" -> Неудачные запросы, в поле "Код состояния" будет сообщение о том, что сертификат для компьютера не выдан из-за срока выдачи, больше чем срок валидности самого сертификата (точное описание не помню, шаблон выдачи должен быть "Компьютер" или "Machine"). Выделить все запросы с таким кодом, и в контекстном меню выбрать: Все задачи -> Выдать. После этого будет выдан обновленный сертификат
