Windows 도메인에서 CA 인증서가 만료되면 암호화 된 메일은 어떻게됩니까?

도메인 네트워크에서 루트 기관 인증서가 만료되면 암호화 된 / 서명 된 메일이 어떻게 될지 아는 사람이 있습니까? 클라이언트에서 인증서의 유효성을 검사 할 수 있습니까? 클라이언트는 메일이 암호화 / 서명되었을 때 인증서가 유효했음을 인식합니까?

새로운 인프라로 마이그레이션하거나 새로운 루트 CA를 설치하면 어떻게됩니까? 만료 된 루트 인증서도 마이그레이션해야합니까?

windows-server-2008 ssl-certificate certificate-authority

— 볼프강
소스

Outlook의 동작에 대해서만 말할 수는 있지만 ... 만료 된 인증서는 사용자가 신뢰할 수 없다는 전자 메일을 열 때 경고를 표시합니다. 만료 된 인증서를보고 전자 메일을 계속하고 읽을 것인지 결정할 수 있습니다.

만료 된 ID 카드와 같습니다. 나는 그것이 알고 사용 을 할,하지만 난 당신의 신원을 확인하기 전에 새 ID가 필요합니다, 그래서 당신은 ... 당신의 머리 또는 무언가를 당신의 이름을 변경하거나 면도 할 수 있었다.

마이그레이션과 관련하여 ...

인증 기관 트러스트 모델

"인증 경로에서 만료 된 CA 인증서는 경로를 무효화하지 않습니다. Windows 2000 공개 키 인프라에서 인증서가 발행 될 때 CA 인증서가 유효한 한 인증 경로는 유효 할 수 있습니다." 만료 된 루트 인증서를 유지해야합니다.

— 다니엘 비
소스

답변 주셔서 감사합니다. 문제는 만료 된 루트 인증서를 보관하지 않으면 클라이언트가 인증서의 유효 여부를 확인할 수 없다는 것입니다!?

— Wolfgang

social.technet.microsoft.com/Forums/en/winserversecurity/thread/… 최고의 응답은 서명 확인을 위해 인증서를 보관할 것을 제안합니다.

— Daniel B.

만료 된 인증서를 마이그레이션해야한다고 제안하는 tidbit로 technet에서 찾은 답변을 업데이트했습니다.

— Daniel B.

대단히 감사합니다! 여전히 나에게 관심이있는 유일한 질문은 새로운 PKI 인프라로 마이그레이션 할 때 사용자가 어떻게 오래된 암호를 얻는 지입니다. 암호화 된 메일을 해독하려면 모든 사용자에게 분명히 인증서가 필요합니다. 그러나 인증서가 활성 디렉토리에 저장되어 있다는 것을 알고 있습니까? 그렇지 않은 경우 클라이언트 인증서는 어떻게 저장 되었습니까? 클라이언트 백업을 통해서만?

— Wolfgang

나는 (지금 삭제 된) 마지막 주석에 나쁜 정보를 넣었습니다 ... 그래서 여기 있습니다. 사용자의 만료 된 인증서를 갱신하고 동일한 개인 키를 사용하려고합니다. 그들은 오래된 증명서를 유지할 필요가 없습니다. technet.microsoft.com/ko-kr/library/cc758448(WS.10).aspx AD와 통합 된 경우 처리 방법을 잘 모르겠습니다.

— Daniel B.