Vous pouvez, mais habituellement en parlant de la redondance que vous la faites au niveau subalterne et fournissez juste les mêmes calibres aux deux CAs en ligne - ils flip-flop pour l'établissement et si on n'est pas disponible autre sera, même si le renouvellement d'un CERT d'autoenrollment de cela a été à l'origine publié de l'autre CA.
La racine en différé est là pour des raisons de sécurité, pas pour facilement disponible. Il est assez facile de faire des fenêtres de secours avec l'état de système pour récupérer correctement la racine si besoin est, ou si vous l'installez dans une VM sur juste de secours l'image sur une unité de disque dur externe que vous gardez up/offsited verrouillé.
En créant des supports vous devriez support la clef privée du CA et le maintenir superbe-fixé verrouillé vers le haut de quelque part. Dans une situation de désastre vous pouvez alors reconstituer la clef privée du CA failed sur la production CA et employer le certutil - signer la commande de re-sign le CRLs, etc. tandis que vous récupérez le CA. C'est également pourquoi il est une bonne idée de publier votre CRLs par l'intermédiaire du manuscrit (certutil - crl) par l'intermédiaire du manuscrit à la demi vie du CRL pour tenir compte du chevauchement ainsi vous avez le temps pour récupérer des issues. Plus d'information ici :
http://www.pki101.com/BackupCA.html
