Кто-нибудь знает, что произойдет с зашифрованными / подписанными письмами, когда истечет срок действия сертификата корневого центра в моей доменной сети? Может ли сертификат по-прежнему подтверждаться клиентами и узнают ли клиенты, что сертификат был действительным, когда почта была зашифрована / подписана?
Соответственно, что будет, когда произойдет миграция на новую инфраструктуру или если я установлю новый корневой ЦС? Есть ли необходимость перенести истекший корневой сертификат?
Я могу говорить только о поведении в Outlook, но ... сертификат с истекшим сроком действия выдаст предупреждение, когда пользователь откроет свою электронную почту, говоря, что это ненадежно. Они могут просмотреть сертификат с истекшим сроком действия и решить, хотят ли они продолжить и прочитать сообщение электронной почты.
Это похоже на просроченное удостоверение личности. Я знаю это используемый быть вами, но вы могли бы изменить свое имя или побрить голову или что-то в этом роде ... так что вам нужен новый идентификатор, прежде чем я смогу подтвердить вашу личность.
По поводу миграции ...
Модель доверия центра сертификации
«Сертификат CA с истекшим сроком действия в пути сертификации не делает путь недействительным. В инфраструктуре открытых ключей Windows 2000 путь сертификации может быть действительным, пока сертификат CA был действителен на момент выдачи сертификата». Так что да. Вероятно, вам следует сохранить корневой сертификат с истекшим сроком действия.