Вы можете, но обычно говоря о дублировании, котор вы делаете его на субординационном уровне и как раз выдаете такие же шаблоны к обоим он-лайн CAs - они будут кувырок для выпуска и если один не имеющееся, то другой будет, даже если возобновлять cert autoenrollment от того первоначально было выдан от другого CA.
Автономный корень там для соображений безопасности, не для высокого наличия. Легко достаточно сделать окна резервные с положением системы правильн для того чтобы взять корень если потребность, или если вы устанавливаете его в VM к как раз резервному изображение к внешнему жесткию диску, то что вы держите запертое up/offsited.
Создавая подпорки вы подпорка приватный ключ CA и держать его супер-обеспеченное запертое поднимающее вверх где-то. В ситуации бедствия вы можете после этого восстановить ключа неудачный CA приватный на продукцию CA и использовать certutil - подпишите командование для того чтобы re-sign CRLs, etc. пока вы берете CA. Это также почему оно будет хорошей идеей выдать ваше CRLs через сценарий (certutil - crl) через сценарий на полувыведении CRL к прибавлять на перекрытие поэтому вы имеете время взять от вопросов. Больше info здесь:
http://www.pki101.com/BackupCA.html
