Qu'arrive-t-il aux e-mails chiffrés lorsque le certificat CA expire dans mon domaine Windows

8

Quelqu'un sait-il ce qui arrivera aux courriers cryptés / signés lorsqu'un certificat d'autorité racine expirera dans mon réseau de domaine? Le certificat peut-il encore être validé par les clients et les clients reconnaîtront-ils que le certificat était valide lorsque le courrier a été chiffré / signé?

Que se passera-t-il respectivement lorsqu'une migration vers une nouvelle infrastructure aura lieu ou si j'installe une nouvelle racine-CA? Est-il nécessaire de migrer également le certificat racine expiré?

Wolfgang
la source

Réponses:

4

Je ne peux parler que du comportement dans Outlook, mais ... un certificat expiré donnera un avertissement lorsqu'un utilisateur ouvrira son e-mail en disant qu'il n'est pas fiable. Ils peuvent afficher le certificat expiré et décider s'ils souhaitent continuer et lire l'e-mail.

C'est comme une carte d'identité expirée. Je sais qu'il utilise pour vous être, mais vous pourriez avoir changé votre nom ou rasé la tête ou quelque chose ... si vous avez besoin d' un nouvel ID avant que je puisse valider votre identité.

Concernant la migration ...

Modèle de confiance de l'autorité de certification

«Un certificat d'autorité de certification expiré dans le chemin de certification n'invalide pas le chemin. Dans l'infrastructure à clé publique Windows 2000, un chemin de certification peut être valide tant que le certificat de l'autorité de certification était valide au moment où le certificat a été émis.» Alors oui. Vous devriez probablement conserver le certificat racine expiré.

Daniel B.
la source
Merci pour votre réponse, le problème est que lorsque je ne conserve pas mon certificat racine expiré, le client ne peut pas vérifier si le certificat a déjà été valide!?
Wolfgang
social.technet.microsoft.com/Forums/en/winserversecurity/thread/… La première réponse suggère que vous conservez les certificats pour la vérification de la signature ... comment cela fonctionnerait, vous pourriez avoir à creuser davantage.
Daniel
J'ai mis à jour la réponse avec une friandise que j'ai trouvée sur technet qui suggère que vous devriez migrer le certificat expiré.
Daniel B.20
Merci beaucoup! La seule question qui me préoccupe encore est de savoir comment les utilisateurs obtiennent leurs anciens certificats lorsque je migre vers une nouvelle infrastructure PKI. Tous les utilisateurs ont évidemment besoin de leurs certificats pour décrypter leurs mails cryptés. Mais pour autant que je sache, les certificats sont stockés dans Active Directory, n'est-ce pas? Sinon, comment les certificats clients ont-ils été enregistrés? Uniquement via la sauvegarde client?
Wolfgang
J'ai collé de mauvaises informations dans mon dernier commentaire (maintenant supprimé) ... alors voici ceci à la place. Vous souhaitez renouveler les certificats expirés de l'utilisateur et utiliser la même clé privée; ils ne devraient pas avoir besoin de conserver leur ancien certificat. technet.microsoft.com/en-us/library/cc758448(WS.10).aspx Je ne sais pas comment vous géreriez cela s'il est intégré à AD ...
Daniel B.