Geralmente é considerado boa prática ter pelo menos 2 Tiers. A raiz ca e as CAs emissoras subordinadas. As CAs emissoras emitem todos os certificados para suas máquinas ou usuários e a raiz emite os certificados de autoridade de certificação subordinada. Isso significa que você pode desativar a raiz, quando não estiver encomendando uma nova CA subordinada, e proteger essa raiz, separando-a da rede, bloqueando-a em um cofre e colocando sinais assustadores. A questiion é por que você quer fazer isso?
O objetivo dos certificados é fazer várias coisas, mas uma é autenticar uma pessoa ou peça de kit para outra. A maneira como o certificado faz isso é assinando dados com uma chave privada e permitindo que você verifique essa assinatura com a chave pública no certificado. Se ele valida, você sabe que a fonte pode ser confiável, pois somente ela teria a chave privada. A questão então se torna como posso confiar no certificado e na chave pública. Você pode confiar nisso porque é assinado com a chave privada da CA de emissão. O resultado disso é que, se suas CAs estiverem comprometidas, você não poderá confiar em nada.
O benefício, portanto, do sub-ca e de uma raiz off-line é que seu ca raiz e suas chaves associadas são quase impossíveis de comprometer. Se um de seus sub-cas for comprometido, você simplesmente revoga o sub-ca emissor e constrói outro re-emitindo seus certificados e crls. Todos os certificados emitidos a partir da CA comprometida não serão mais submetidos a transação. Você não pode fazer isso se sua raiz foi comprometida e as pessoas podem acabar confiando que estão se conectando à sua infraestrutura quando não estão.