不确定 Active Directory 中的特定实现，但通常 X.509 签名允许更容易从妥协中恢复。

它假设在线 CA 比离线 CA 更容易受到攻击。因此，假设您的在线 CA 遭到破坏，并且其私钥可能被复制。

您吊销 CA 证书。你继续生成一个新的密钥对、证书等——你现在有了一个新的在线 CA。

您的下一步取决于您是否有离线 CA：

• 如果您有一个离线 CA，您可以使用您的离线 CA 来签署您的新在线 CA 证书。相当容易。也更安全，因为它很容易，你可能会真正做到。

• 如果您没有离线 CA，您可以在每台客户端计算机、手机、平板电脑……上安装新的根 CA 证书。（实际上，你没有：你设置了一个离线 CA，然后安装它。因为你学会了不要重复这个错误！）不太安全，因为你会尽力避免这项工作。（“我们真的确定私钥被盗了吗？”）

最后，为服务器签署新证书，并安装它们（可能包括 CA 链）。

因此，总而言之，如果您有一个离线 CA，您只需重新颁发证书以进行身份​​验证方（通常只有服务器）。如果您不这样做，不仅要这样做，您还可以在任何地方安装新的根 CA。

我的理解是，如果在线 CA 遭到破坏，它可以更快地做出响应。可以发布更新的 CRL 以使中间 CA 无效，而不需要所有系统当时都在网络上。

我相信它比它更有价值，但这是我的动力。