Moin,
eine CA zu entfernen, die man nicht braucht, ist in jedem Fall sinnvoll. Wenn es dann Bedarf für eine neue PKI gibt, ist das ja anscheinend ein valider Use Case. Dann muss die PKI aber auch "gut" aufgesetzt und betrieben werden, und da hapert es meist. Leider sind PKIs allgemein und die Windows-PKI im Speziellen sehr unübersichtlich und fehlerträchtig in Einrichtung und Betrieb, daher mein Diktum "PKI ist böse". Das gilt prinzipiell und mit Produktbezug.
Ich kenne den Use Case von d.velop nicht, aber falls die User-Anmeldung dort auch ohne eigene PKI möglich ist und sonst nichts anderes eine eigene PKI erfordert, würde ich ein PKI-freies Setup ernsthaft in Erwägung ziehen.
Falls es eine eigene Windows-PKI sein soll, empfehle ich das Rheinwerk-Buch zum Thema und ggf. einen Dienstleister, der sich wirklich damit auskennt.
Gruß, Nils