8 有谁知道我的域网络中的根权限证书过期后,加密的/签名的邮件将如何处理?仍然可以从客户端验证证书吗?在对邮件进行加密/签名时,客户端是否可以识别证书有效? 当迁移到新的基础结构或安装新的根CA时,将分别发生什么?是否需要迁移过期的根证书? windows-server-2008 ssl-certificate certificate-authority — 沃尔夫冈 source
4 我只能说说Outlook中的行为,但是...过期的证书将在用户打开其电子邮件时指出警告,该警告是不可信的。他们可以查看已过期的证书,并决定是否要继续阅读该电子邮件。 就像过期的身份证。我知道它曾经是您,但是您可能已经更改了名字或剃了头……等等,因此您需要一个新的ID才能验证您的身份。 关于迁移... 证书颁发机构信任模型 “证书路径中过期的CA证书不会使路径无效。在Windows 2000公钥基础结构中,只要CA证书在颁发证书时有效,证书路径就可以有效。” 您可能应该保留过期的根证书。 — 丹尼尔·B。 source 谢谢您的回答,问题是,当我不保留过期的根证书时,客户端无法检查证书是否有效! — Wolfgang social.technet.microsoft.com/Forums/zh-CN/winserversecurity/thread / ...最高响应表明您确实保留了用于签名验证的证书...您可能需要做更多的工作才能继续工作。 — Daniel B. 我已经用在Technet上发现的提示更新了答案,建议您迁移已过期的证书。 — Daniel B. 非常感谢你!仍然让我担心的唯一问题是,当我迁移到新的PKI基础结构时,用户如何获得旧证书。所有用户显然都需要其证书才能解密其加密的邮件。但是据我所知,证书存储在活动目录中,对吗?如果不是,则如何保存客户端证书?仅通过客户端备份? — Wolfgang 我在我的(现在已删除)最后一条评论中贴了一些错误的信息……所以这里是这个。您要续订用户的过期证书并使用相同的私钥;他们不需要保留旧证书。technet.microsoft.com/zh-cn/library/cc758448(WS.10).aspx 我不确定如果将它与AD集成,您将如何处理... — Daniel B.