¿Qué sucede con los correos cifrados cuando el certificado de CA caduca en mi dominio de Windows?

8

¿Alguien sabe qué sucederá con los correos cifrados / firmados cuando un certificado de autoridad raíz expire en mi red de dominio? ¿Se puede validar el certificado de los clientes y los clientes reconocerán que el certificado era válido cuando el correo fue cifrado / firmado?

Respectivamente, ¿qué sucederá cuando tenga lugar una migración a una nueva infraestructura o si instalo una nueva CA raíz? ¿Existe la necesidad de migrar también el certificado raíz caducado?

windows-server-2008 ssl-certificate certificate-authority Wolfgang
fuente

Respuestas:

4

Solo puedo hablar de comportamiento en Outlook, pero ... un certificado vencido dará una advertencia cuando un usuario abra su correo electrónico diciendo que no es de confianza. Pueden ver el certificado vencido y decidir si desean continuar y leer el correo electrónico.

Es como una tarjeta de identificación vencida. Sé que solías ser tú, pero podrías haber cambiado tu nombre o afeitarte la cabeza o algo así ... necesitas una nueva identificación antes de que pueda validar tu identidad.

En cuanto a la migración ...

Modelo de confianza de la autoridad de certificación

"Un certificado de CA caducado en la ruta de certificación no invalida la ruta. En la infraestructura de clave pública de Windows 2000, una ruta de certificación puede ser válida siempre que el certificado de CA fuera válido en el momento en que se emitió el certificado". Entonces sí. Probablemente deberías conservar el certificado raíz expirado.

Daniel B.
fuente
Gracias por su respuesta, el problema es que cuando no guardo mi certificado raíz caducado, ¡el cliente no puede verificar si el certificado ha sido válido alguna vez !?
Wolfgang
social.technet.microsoft.com/Forums/en/winserversecurity/thread/… La respuesta principal sugiere que conserve los certificados para la verificación de la firma ... cómo funcionaría, podría tener que investigar más.
Daniel B.
He actualizado la respuesta con un tidbit que encontré en technet que sugiere que debería migrar el certificado caducado.
Daniel B.
¡Muchas gracias! La única pregunta que todavía me preocupa es cómo obtienen los usuarios sus certificados antiguos cuando migro a una nueva infraestructura PKI. Todos los usuarios obviamente necesitan sus certificados para descifrar sus correos cifrados. Pero hasta donde yo sé, los certificados están almacenados en el directorio activo, ¿verdad? Si no, ¿cómo se guardaron los certificados del cliente? ¿Solo a través de la copia de seguridad del cliente?
Wolfgang
Pegué información incorrecta en mi último comentario (ahora eliminado) ... así que aquí está esto. Desea renovar los certificados caducados del usuario y usar la misma clave privada; no deberían necesitar mantener su antiguo certificado. technet.microsoft.com/en-us/library/cc758448(WS.10).aspx No estoy seguro de cómo manejaría eso si está integrado con AD ...
Daniel B.