Du kan, men vanligt, när du talar om överflöd som du gör det på det underordnade jämnt och utfärdar precis de samma mallarna till båda on-line CAs - de ska flipen-flop för issuance, och, om en inte är tillgänglig, ska annat är, om även förnya en autoenrollmentcert från det utfärdades ursprungligen från den annan Ca.en
De offline- rotar är för säkerhet resonerar där, inte för kicktillgänglighet. Det är lätt nog att göra fönster som är reserv- med det statliga systemet riktigt att återställa rota, om behov är, eller om du installerar den i en VM till precis reserven avbilda till ett yttre hårt drev att du uppehället låste up/offsited.
När du skapar reserver, du bör reserven det privat stämma av CAEN och uppehället som den toppen-säkrade låst upp någonstans. I ett katastrofläge du kan därefter återställandet de privata missade CA'SNA stämma på produktionen CA och använda certutilen - underteckna befaller för att re-sign CRLsen, Etc.-stunder som du återställer CAEN. Detta är också varför det är en bra idé att utfärda din CRLs via skrivar (certutil - crl) via skrivar på det halveringstit av CRLEN för att låta för överlappning, så du har tid att återställa från utfärdar. Mer info här:
http://www.pki101.com/BackupCA.html
