O que acontece com os emails criptografados quando o certificado da CA expira no meu domínio do Windows


8

alguém sabe o que acontecerá com os emails criptografados / assinados quando um certificado de autoridade raiz expirar na minha rede de domínio? O certificado ainda pode ser validado pelos clientes e eles reconhecerão que o certificado era válido quando o email foi criptografado / assinado?

Respectivamente, o que acontecerá quando ocorrer uma migração para uma nova infraestrutura ou se eu instalar uma nova CA raiz? Também é necessário migrar o certificado raiz expirado?

Respostas:


4

Só posso falar por comportamento no Outlook, mas ... um certificado expirado emitirá um aviso quando um usuário abrir seu email dizendo que não é confiável. Eles podem visualizar o certificado expirado e decidir se desejam continuar e ler o email.

É como um cartão de identificação vencido. Eu sei que costumava ser você, mas você poderia ter mudado seu nome ou raspado sua cabeça ou algo assim ... então você precisa de uma nova identificação antes que eu possa validar sua identidade.

Em relação à migração ...

Modelo de confiança da autoridade de certificação

"Um certificado de CA expirado no caminho de certificação não invalida o caminho. Na infraestrutura de chave pública do Windows 2000, um caminho de certificação pode ser válido desde que o certificado da CA seja válido no momento em que o certificado foi emitido." Você provavelmente deve manter o certificado raiz expirado.


Obrigado pela sua resposta, o problema é que, quando não guardo meu certificado raiz expirado, o cliente não pode verificar se o certificado já foi válido !?
Wolfgang

social.technet.microsoft.com/Forums/en/winserversecurity/thread/… A resposta superior sugere que você mantenha os certificados para verificação de assinatura ... como funcionaria, talvez você precise procurar mais.
Daniel B.

Atualizei a resposta com um petisco que encontrei no technet que sugeriria que você migrasse o certificado expirado.
Daniel B.

Muito obrigado! A única pergunta que ainda me preocupa é como os usuários obtêm seus certificados antigos quando migro para uma nova infraestrutura de PKI. Todos os usuários obviamente precisam de seus certificados para descriptografar seus e-mails criptografados. Mas, tanto quanto eu sei, os certificados estão armazenados no diretório ativo, não são? Caso contrário, como os certificados do cliente foram salvos? Somente via backup do cliente?
Wolfgang

Coloquei algumas informações ruins no meu último comentário (agora excluído) ... então aqui está isso. Você deseja renovar os certificados expirados do usuário e usar a mesma chave privada; eles não precisam manter seu certificado antigo. technet.microsoft.com/en-us/library/cc758448(WS.10).aspx Eu não sei como você iria lidar com isso se ele está integrado com AD ...
Daniel B.
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.