Что происходит с зашифрованными письмами по истечении срока действия сертификата CA в моем домене Windows

8

Кто-нибудь знает, что случится с зашифрованными / подписанными письмами, когда в моей доменной сети истечет срок действия корневого сертификата? Может ли сертификат по-прежнему проверяться на клиентах, и узнают ли клиенты, что сертификат действовал, когда почта была зашифрована / подписана?

Соответственно, что произойдет, когда произойдет миграция на новую инфраструктуру или если я установлю новый корневой CA? Есть ли необходимость также перенести просроченный корневой сертификат?

Wolfgang
источник

Ответы:

4

Я могу говорить только о поведении в Outlook, но ... просроченный сертификат выдаст предупреждение, когда пользователь откроет свою электронную почту, сказав, что он не заслуживает доверия. Они могут просмотреть сертификат с истекшим сроком действия и решить, хотят ли они продолжить и прочитать электронную почту.

Это как просроченная идентификационная карта. Я знаю , что это используется , чтобы быть, но ты мог бы изменить свое имя или брил голова или что - то ... так что вам нужен новый идентификатор , прежде чем я могу подтвердить свою личность.

Что касается миграции ...

Модель доверия центра сертификации

«Сертификат CA с истекшим сроком действия в пути сертификации не делает недействительным путь. В инфраструктуре открытых ключей Windows 2000 путь сертификации может быть действительным до тех пор, пока сертификат CA действовал на момент выдачи сертификата». Так что да. Вы должны вероятно сохранить просроченный корневой сертификат.

Даниэль Б.
источник
Спасибо за ваш ответ, проблема в том, что, когда я не сохраняю свой истекший корневой сертификат, клиент не может проверить, действовал ли когда-либо сертификат !?
Вольфганг
social.technet.microsoft.com/Forums/en/winserversecurity/thread/… Верхний ответ предполагает, что вы сохраняете сертификаты для проверки подписи ... как это будет работать, возможно, вам придется больше копать.
Даниэль Б.
Я обновил ответ с помощью лакомого кусочка, найденного в technet, в котором предлагалось бы перенести устаревший сертификат.
Даниэль Б.
Большое спасибо! Единственный вопрос, который все еще касается меня, - это как пользователи получают свои старые сертификаты, когда я перехожу на новую инфраструктуру PKI. Всем пользователям, очевидно, нужны свои сертификаты для расшифровки зашифрованных писем. Но насколько я знаю, сертификаты хранятся в активном каталоге, не так ли? Если нет, то как клиентские сертификаты были сохранены? Только через бэкап клиента?
Вольфганг
Я вставил некоторую плохую информацию в мой (теперь удаленный) последний комментарий ... так вот это вместо этого. Вы хотите обновить сертификаты с истекшим сроком действия и использовать тот же закрытый ключ; им не нужно хранить свой старый сертификат. technet.microsoft.com/en-us/library/cc758448(WS.10).aspx Я не уверен, как бы вы справились с этим, если бы он был интегрирован с AD ...
Даниэль Б.