Certificate 如何从CA证书泄漏中恢复

我使用自签名证书对客户端证书进行签名，并且我有一个适当的过程来替换此证书，以防私钥被泄露。不幸的是，这意味着所有的客户端证书都将无效

我正在努力在我的系统上实现一个，这意味着我可以拥有一个“冷”根证书，它只用于颁发中间CA，而中间CA将能够签署我的客户端证书

因此，在一个拥有可靠PKI的完美世界中，我如何从中间证书私钥泄露中恢复，而不让我的客户重新签署他们的所有证书

我的意思是，从今天起，使用我的单一自签名证书，我毫无疑问必须要求我的所有客户重新发送CSR，并使用新的私钥重新签名所有证书。并阻止他们，直到他们的新证书签署。
但是，在PKI中，我认为根证书不受损害，有可能顺利过渡到新的中间证书吗？平稳的含义，而不是中断我的客户服务

例如，我可以想象在两台物理上不同的机器上使用两个中间证书对他们的证书进行签名，这样，当一个证书被撤销时，第二个签名仍然有效。我说的对吗？

---

在这个问题上有什么“行业标准”吗？

正确实施的PKI不能保护您重新颁发所有从受损CA签名的证书。如果签名CA受损，您必须吊销所有证书。 双重签名无效，证书是否已吊销

例如，在windows域中，您可以使用Active Directory集成CA并实现自动注册到客户端。 您还可以在企业中实现像letsencrypt这样的CA。 博尔德-一个顶点CA