Você pode, mas geralmente ao falar sobre a redundância que você a faz a nível subordinado e apenas o emite os mesmos moldes a ambos os CAs em linha - flip-flop para a emissão e se um não é disponível outro serão, mesmo se renovar um CERT do autoenrollment daquele foi emitida original do outro CA.
A raiz fora de linha está lá para motivos de segurança, não para a disponibilidade elevada. É fácil bastante fazer as janelas alternativas com o estado de sistema para recuperar corretamente a raiz se a necessidade for, ou se você a instala em um VM a apenas alternativo a imagem a uma movimentação dura externa que você mantem up/offsited fechado.
Ao criar apoios você deve apoio a chave confidencial do CA e para mantê-lo em algum lugar ascendente fechado super-fixado. Em uma situação do disastre você pode então restaurar a chave confidencial do CA falh na produção CA e usar o certutil - assinar o comando re-sign o CRLs, etc. quando você recuperar o CA. Isto é igualmente porque ele é uma boa idéia emitir seu CRLs através do certificado (certutil - crl) através do certificado no half-life do CRL para permitir a sobreposição assim que você tem o tempo para recuperar das edições. Mais informação aqui:
http://www.pki101.com/BackupCA.html
