Hola Juan,
Estimo que hace tiempo que tenes la respueta a esta pregunta, pero por si alguien mas tiene la misma consulta y se cruza con esta post.
En el escenario que describes, a nivel de PKI la migracion seria transparente, no hay ningun cambio a aplicar a nivel de servicio. El unico punto de atencion seria si estas usando un HSM para almacenar la llave privada del certificado de la CA, entonces
asegurarse que la VM tenga acceso al HSM, caso contrario el servicio de la CA no va a levantar.
Obviamente, tomar un backup de la CA antes de comenzar el proceso siempre es recommendable.
Saludos
Martin