Apa yang terjadi pada email terenkripsi saat sertifikat CA berakhir di Domain Windows saya

8

apakah ada yang tahu apa yang akan terjadi pada email terenkripsi / ditandatangani ketika sertifikat otoritas root kedaluwarsa di jaringan domain saya? Bisakah sertifikat masih divalidasi dari klien dan apakah klien akan mengenali bahwa sertifikat itu valid ketika surat dienkripsi / ditandatangani?

Masing-masing apa yang akan terjadi ketika migrasi ke infrastruktur baru akan terjadi atau jika saya menginstal root-CA baru? Apakah ada kebutuhan untuk juga memigrasi sertifikat root yang kadaluwarsa?

windows-server-2008 ssl-certificate certificate-authority Wolfgang
sumber

Jawaban:

4

Saya hanya bisa berbicara untuk perilaku di Outlook, tapi ... sertifikat yang kedaluwarsa akan memberikan peringatan ketika pengguna membuka email mereka mengatakan itu tidak dapat dipercaya. Mereka dapat melihat sertifikat yang kadaluwarsa dan memutuskan apakah mereka ingin melanjutkan dan membaca email.

Ini seperti kartu ID yang kedaluwarsa. Saya tahu itu dulu Anda, tetapi Anda bisa mengubah nama Anda atau mencukur rambut Anda atau sesuatu ... sehingga Anda memerlukan ID baru sebelum saya dapat memvalidasi identitas Anda.

Mengenai migrasi ...

Model Kepercayaan Otoritas Sertifikat

"Sertifikat CA yang kadaluwarsa di jalur sertifikasi tidak membatalkan jalur. Dalam infrastruktur kunci publik Windows 2000, jalur sertifikasi dapat valid selama sertifikat CA valid pada saat sertifikat dikeluarkan." Jadi ya. Anda mungkin harus menyimpan sertifikat root yang kadaluarsa.

Daniel B.
sumber
Terima kasih atas jawaban Anda, masalahnya adalah, ketika saya tidak menyimpan sertifikat root kadaluwarsa saya, klien tidak dapat memeriksa apakah sertifikat tersebut pernah valid !?
Wolfgang
social.technet.microsoft.com/Forums/en/winserversecurity/thread/... Respons teratas menyarankan Anda menyimpan sertifikat untuk verifikasi tanda tangan ... bagaimana cara kerjanya Anda mungkin harus melakukan lebih banyak penggalian.
Daniel B.
Saya telah memperbarui jawabannya dengan tidbit yang saya temukan di technet yang menyarankan Anda harus memigrasi sertifikat yang sudah kadaluwarsa.
Daniel B.
Terima kasih banyak! Satu-satunya pertanyaan yang masih mengkhawatirkan saya adalah bagaimana pengguna mendapatkan sertifikat lama ketika saya bermigrasi ke infrastruktur PKI baru. Semua pengguna jelas membutuhkan sertifikat mereka untuk mendekripsi surat terenkripsi mereka. Tapi sejauh yang saya tahu sertifikat disimpan di direktori aktif, bukan? Jika tidak, bagaimana sertifikat klien bisa disimpan? Hanya melalui cadangan klien?
Wolfgang
Saya terjebak beberapa info buruk di komentar terakhir saya (sekarang dihapus) ... jadi ini dia. Anda ingin memperbarui sertifikat yang kadaluwarsa pengguna dan menggunakan kunci pribadi yang sama; mereka tidak perlu menyimpan sertifikat lama mereka. technet.microsoft.com/en-us/library/cc758448(WS.10).aspx Saya tidak yakin bagaimana Anda akan mengatasinya jika diintegrasikan dengan AD ...
Daniel B.