WindowsドメインでCA証明書の有効期限が切れると、暗号化メールはどうなりますか

8

ドメイン認証ネットワークでルート認証局の証明書が期限切れになったときに、暗号化/署名されたメールがどうなるか誰もが知っていますか?証明書はクライアントから引き続き検証できますか。クライアントは、メールが暗号化/署名されたときに証明書が有効であったことを認識しますか?

新しいインフラストラクチャへの移行が行われた場合、または新しいルートCAをインストールした場合、それぞれどうなりますか?期限切れのルート証明書も移行する必要はありますか?

windows-server-2008  ssl-certificate  certificate-authority 
ヴォルフガング
ソース

回答:

4

私はOutlookでの動作についてのみ話すことができますが、...期限切れの証明書は、ユーザーが電子メールを開いたときに、信頼できないと警告を出します。期限切れの証明書を表示し、続行して電子メールを読むかどうかを決定できます。

これは期限切れのIDカードのようなものです。以前はあなただったのはわかっていますが、名前を変更したり、頭を剃ったりした可能性があります。そのため、IDを検証する前に新しいIDが必要です。

移行について...

認証局信頼モデル

「認証パスの有効期限が切れたCA証明書はパスを無効にしません。Windows2000公開鍵インフラストラクチャでは、証明書が発行された時点でCA証明書が有効であった限り、認証パスは有効です。」はい。おそらく、有効期限が切れたルート証明書を保持する必要があります。

ダニエルB.
ソース
回答ありがとうございます。問題は、有効期限が切れたルート証明書を保持しないと、クライアントが証明書が有効であるかどうかを確認できないことです。
Wolfgang
social.technet.microsoft.com/Forums/en/winserversecurity/thread/… 上位の応答は、署名検証のために証明書を保持することを示唆しています...どのように機能するかにより、さらに掘り下げる必要があります。
ダニエルB.
期限切れの証明書を移行する必要があることを示唆する、technetで見つけた一口で回答を更新しました。
ダニエルB.
どうもありがとうございました!それでも私が懸念している唯一の問題は、新しいPKIインフラストラクチャに移行するときに、ユーザーが古い証明書をどのように取得するかです。すべてのユーザーは、暗号化されたメールを復号化するために証明書を必要としています。しかし、私が知る限り、証明書はActive Directoryに格納されていますか?そうでない場合、クライアント証明書はどのように保存されましたか?クライアントのバックアップを介してのみ?
Wolfgang
私の(現在は削除されている)最後のコメントにいくつかの悪い情報が詰まっています...代わりにこれをここに示します。ユーザーの有効期限が切れた証明書を更新し、同じ秘密鍵を使用したい。古い証明書を保持する必要はありません。technet.microsoft.com/en-us/library/cc758448(WS.10).aspx ADと統合されている場合の処理​​方法がわかりません...
Daniel B.
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.