Sie können, aber normalerweise, wenn Sie über Redundanz sprechen, die Sie sie auf dem unterstellten Niveau tun und gerade die gleichen Schablonen zu beiden on-line-CAs herausgeben - sie flip-flop für Austeilung und wenn man nicht vorhandenes ist, ist andere, selbst wenn das Erneuern eines autoenrollment CERT von dem ursprünglich vom anderen CA herausgegeben.
Die indirekte Wurzel ist dort für Sicherheitsgründe, nicht für hohe Verwendbarkeit. Es ist einfach genug, die Fenster zu tun, die mit dem Systemszustand Unterstützungs sind, zum der Wurzel richtig wenn nötig, zurückzugewinnen oder, wenn Sie sie in eine VM zu gerade Unterstützungs das Bild zu einem externen Festplattenlaufwerk anbringen, dass Sie verschlossenes up/offsited halten.
Wenn Sie Unterstützungen verursachen, sollten Sie Unterstützung der private Schlüssel des CA und ihn zu halten Super-gesichert verriegelt herauf irgendwo. In einer Unfallsituation können Sie den ausfallen privaten Schlüssel des CA auf die Produktion CA dann wieder herstellen und das certutil benutzen - Befehl unterzeichnen re-sign das CRLs, das etc., während Sie den CA zurückgewinnen. Dieses ist auch warum es ist eine gute Idee, Ihr CRLs über Index (certutil - crl) über Index an der Halbwertzeit des CRL herauszugeben, um Deckung zuzulassen, also haben Sie Zeit, von Ausgaben zu erholen. Mehr Info hier:
http://www.pki101.com/BackupCA.html