Потребуется ли SCCM второй SubCA при использовании HTTPS с двумя доменами?

У меня есть домен one.local. У него уже есть собственный Windows Root CA и SubCA.

Существует второй домен с именем two.local, использующий SSCM. Команда, которая управляет two.local, хочет управлять выбранными машинами, расположенными на one.local, с помощью SCCM. Two.local имеет собственный корневой ЦС и субЦС. Команда two.local просит меня создать новую SubCA на one.local, чтобы они могли управлять машинами с помощью SSCM. Могут ли они не использовать SubCA, который уже существует на one.local?

Мне посоветовали, чтобы команда two.local указала two.local CA в точке управления SCCM. Можно ли добавить к этой точке управления более одного ЦС? Например, ЦС one.local и two.local.

У меня нет опыта работы с SCCM, и я не буду его использовать. Я читаю о SCCM и пытаюсь понять, нужно ли это делать, чтобы использовать его в нескольких доменах. Есть ли другие альтернативные решения, которые могут быть лучше?

Не может ли команда просто добавить корневой сертификат из two.local в хранилище доверенных корневых сертификатов для выбранных компьютеров в one.local?