Description:
Certificate Services did not start: Could not load or verify the current CA certificate.  ser2003 A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

For more information, see Help and Support Center at go.microsoft.com/fwlink/events.asp.

A certificate in the chain for CA certificate 3 for ser2003 has expired.  A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

На Server2003 смотрим сертификат от Server2008 - статус сертификата  "ОК"!
пробуем выдать сертификат юзеру - сертификат  ставиться с предупреждением о недоверии!

Эксперимент 2.
На корневом ЦС Server2008 аннулируем (revoke)  сам ЦС Server2003.
На Server2003 смотрим сертификат от Server2008 - статус сертификата  "ОК"!
пробуем выдать сертификат юзеру - сертификат  ставиться.

Обновление сертификата:
Свойства дочернего ЦС -> all tasks -> renew CA Certificate
Корневой ЦС - pending requests - принять запрос - issued - окрыть сертификат - детали - copy to file - имя сертификата.

Вход
localhost/certsrv/default.asp

Пробуем как корневой.

Можно экспортировать закрытый ключ в pfx. Одинаковые действия как в 2008 так и в 2003 сервере.

Переходим в advanced (продвинутый) запрос на получение сертификата.
Включаем strong private key protection.

После импорта в браузере и.эксплрер выбираем content/certificates/export

просмотр хранилища сертификатов:
msdn.microsoft.com/ru-ru/library/ms788967.aspx
Yes, export the private key.
PKCS #12  .PFX
ставим пароль на хранилище  PFX.