U kunt, maar wanneer het spreken over overtolligheid doet u het gewoonlijk op het ondergeschikte niveau en geeft enkel de zelfde malplaatjes aan zowel online CAs uit - zij zullen wipschakelaar voor uitgifte en als men geen beschikbare is zal andere zijn, zelfs als vernieuwend een autoenrollment cert van dat oorspronkelijk CA. werd uitgegeven van andere.
De off-line wortel is daar voor veiligheidsoverwegingen, niet voor hoge beschikbaarheid. Het is gemakkelijk genoeg om een venstersfile met systeemstaat te doen de wortel behoorlijk terugkrijgen indien noodzakelijk, of als u het in VM aan enkel reserve het beeld aan een externe harde aandrijving installeert dat u gesloten up/offsited houdt.
Wanneer het creëren van files zou u file de privé sleutel van CA en het super-beveiligd houden ergens omhoog gesloten moeten. In een rampensituatie kunt u de ontbroken CA privé sleutel op productieCA dan herstellen en certutil gebruiken - onderteken bevel om CRLs, enz. af te treden terwijl u CA. terugkrijgt. Dit is ook waarom het een goed idee is om uw CRLs via manuscript (certutil - crl) via manuscript bij de halveringstijd van CRL uit te geven om voor overlapping toe te staan zodat hebt u tijd om van kwesties terug te krijgen. Meer info hier:
http://www.pki101.com/BackupCA.html
