有人知道当我的域网络中的根颁发机构证书过期时,加密/签名的邮件会发生什么吗?客户端是否仍可以验证证书?当邮件被加密/签名时,客户端是否会识别出证书是有效的?
分别来说,当迁移到新的基础设施或安装新的根 CA 时会发生什么?是否还需要迁移过期的根证书?
答案1
我只能谈论 Outlook 中的行为,但是...过期的证书会在用户打开电子邮件时发出警告,指出该电子邮件不受信任。他们可以查看过期的证书,然后决定是否要继续阅读电子邮件。
就像过期的身份证一样。我知道用过的是你,但你可能改了名字或者剃了头或者做了其他事情...所以你需要一个新的身份证件,然后我才能验证你的身份。
关于迁移...
“证书路径中过期的 CA 证书不会使路径无效。在 Windows 2000 公钥基础结构中,只要 CA 证书在颁发时有效,证书路径就可以有效。”所以是的。您可能应该保留过期的根证书。