チャブーンです。
時間が空いてしまいました。が、しばらくこの状況は変えられないと思いますので、ご容赦ください。
たくさんの追加質問を書かれていますが、突き詰めるといくつかの認識違いによるものかと思っています。
Windowsに限らず、証明機関の本質的な機能は「役割に応じた各種証明書とCRLを発行する」だけとなります。発行後の証明書を証明機関が「監視」したり「リモート制御による無効化」などを行うことは一切ありません。これらは、証明書を実際に利用するクライアント側で行っているので、そのとき証明機関がONだろうがOFFだろうが、存在していようがいまいが、関係はないのです。
証明書がその正当性を保証できるのは、正当なルート証明書とCRLに自分が載っていない(無効化宣言されていない)ことですが、ルート証明書とCRLはどちらも証明機関の外側に用意されているので(たとえばルート証明書はクライアント自身が持っています)、証明機関自身の有無には関係がありません。
また、証明機関のチェーン(ルートと下位証明機関)の役割は、下位証明機関の身元保証をルート証明機関が行っている、これだけです。したがって、下位証明期間がOFFの場合にルート証明機関に証明書要求を行う、といったことは一切ありません。可用性のための機能はないからです。可用性を担保するには単一の証明機関をWSFCで構成する必要があります。
証明機関はActive Dirctoryと紐付かない「スタンドアロンCA」と、Active Directoryとシームレス連携する「エンタープライズCA」があり、エンタープライズCAは「ドメイン参加したサーバーやクライアントに適切な証明書を自動配布する」機能が特別に割り当てられているので、オフライン運用することはできません。無理にそれを止め続けて運用したり、上書きで証明機関情報を再設定しようとすると、おそらく壊れてしまうと思います。
こういった証明機関の仕組み全体と、詳細な機能(どの種類の証明書がどこに存在し、それを取り出すための内容も含む)を個々にお話しすることはコンサルティングと同義ですので、このような無償コミュニティではムリですし、私個人としてもお受けしていません。
したがって、まずはWindows PKIに関する書籍をきちんと読破され、そのうえでMS有償サポートに「本当に聞きたいことだけ」を問い合わせることをお奨めします。時間がない、ならいきなりMS有償サポートに聞くのもよいですが、(回答範囲がとても広いので)費用がかさむと思います。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
