Quando si crea un'Autorità di certificazione (CA) dell'organizzazione (Enterprise), i modelli di certificato vengono archiviati in Servizi di dominio Active Directory e possono essere messi a disposizione di tutte le CA dell'organizzazione (Enterprise) della foresta. Ciò consente una semplificazione delle operazioni di replica, gestione della sicurezza e aggiornamento dei modelli di certificato quando una CA viene aggiornata a una versione più recente di un sistema operativo server Windows. A tale scopo, è necessario che il gruppo Domain Admins del dominio radice disponga dell'autorizzazione Controllo completo per tutti i modelli di certificato o che tale autorizzazione sia stata concessa a un altro utente o gruppo.
Dopo aver pianificato e creato i modelli di certificato appropriati, questi verranno replicati automaticamente in tutti i controller di dominio dell'organizzazione. Tale replica in genere viene completata nel giro di otto ore. A causa del tempo richiesto, è consigliabile creare il modello di certificato e consentirne la replica prima di rilasciare ai client certificati basati su tale modello. È opportuno eseguire queste operazioni durante un periodo di inattività dell'ambiente. La configurazione di modelli e l'utilizzo di certificati prima del completamento della replica possono avere effetti indesiderati.