1台のADCSでSHA1とSHA2の暗号化アルゴリズムで署名した証明書を発行できないそうです。その為、SHA1からSHA2に移行してしまうとSHA1の証明書が発行できなくなります。
レガシーのOS、端末などで新たに発行するケースというのはゼロではないかもしれませんので、少し意識しておいたほうがいいかもしれません。
以下は抜粋。
マイクロソフトがお客様に内部CAが何らかの更新プログラムを使用してSHA1証明書を発行するのを停止するように求めている場合、答えはノーです。私たちは、自分でそれをやめることが最善であることを示しています。
質問番号2の場合、答えはノーです。CAは、両方ではなく、一方のみを実行できます。現在SHA2アルゴリズムをサポートしていないアプリケーションをサポートする必要がある場合は
、現在のSHA1 PKI階層とともに新しいSHA256 PKI階層を立ち上げることを検討することをお勧めします。SHA2がサポートするアプリケーションとオペレーティングシステムの新しい階層への移行をゆっくりと開始し、既存のPKI階層でSHA1をサポートするアプリケーションとオペレーティングシステムのみを許可します。
SHA1の証明書はもはや使っているところは少ないと思いますが、まだSHA1の証明書を使っている場合は、要注意ですね。
これは同時に複数の証明機関を構築できることを意味していそうですね。