如果你真的，真的，真的很认真，那么：

1. 你没有。万一您觉得需要更新，您可以从刻录的 CD/DVD 重新安装。
2. 任何数据都必须手动传输。您可以从一个屏幕阅读并在另一台计算机上输入，您可以考虑使用可以打印和扫描的二维码。由于不需要移动太多数据，因此可以这样做。

1. 所有 Windows 更新都可以下载，您可以在本地应用，Linux 也是如此。企业管理工具还可用于提供网络更新，而无需将 CA 机器连接到 Internet。您可以使用仅允许连接到管理服务器地址的 Windows 防火墙规则临时连接到本地网络。

2. 中间证书的作用类似于根证书，但范围更有限。因此，您可以创建一组用于特定签名目的的中间证书，并具有较短的到期日期，以限制它们被泄露的影响。是的，您仍然需要保持中间证书的安全，但如果操作正确，妥协的影响会小得多。

   如果您需要创建新的中间证书，请使用干净的 U 盘或类似设备在 CA 机器上创建。

   显然，您将了解您必须确保 CA 机器的物理安全。它应该放在安全房间的安全柜中。必须严格控制对机器的访问并仔细记录所有访问。

更新：其他人提到使用硬件加密模块（HSM）。当然，这也将提高 CA 机器上的安全性，使其更难破坏密钥，强烈推荐。我之前应该包括在内。

有一个解决方案，您可以避免这种气隙及其带来的风险/困难，但仍能获得相同的安全性。

您要防止的是 CA 私钥的泄露。如果 CA 私钥被泄露，你就完蛋了，需要更换 CA。但是对于客户端身份验证 CA，恶意软件是否设法获得签名并不重要，因为您以后可以轻松地撤销该证书。

这种安全性可以通过将私钥存储在称为“HSM”的安全设备上来获得。有许多设备具有 HSM 的安全功能，但我推荐的是 Yubikey 4。

Yubikey 4 的好处是它可以设置为在签名之前需要按下物理按钮，这也可以防止恶意软件滥用签名。

您想要拥有的是经过安全认证的设备，例如私钥永远不会触及不安全的设备（计算机）。

您还可以将智能卡、USB PKI 记忆棒和类似设备用作 HSM。

拥有一个充当签名者并存储私钥的小型设备的好处是，只需将设备锁定在保险箱或银行存款箱中，就可以轻松地对其进行物理保护。