Was passiert mit verschlüsselten E-Mails, wenn das CA-Zertifikat in meiner Windows-Domäne abläuft?

8

Weiß jemand, was mit verschlüsselten / signierten E-Mails passiert, wenn ein Stammberechtigungszertifikat in meinem Domänennetzwerk abläuft? Kann das Zertifikat noch von den Clients validiert werden und erkennen die Clients, dass das Zertifikat gültig war, als die E-Mail verschlüsselt / signiert wurde?

Was passiert jeweils, wenn eine Migration auf eine neue Infrastruktur stattfindet oder wenn ich eine neue Stammzertifizierungsstelle installiere? Muss auch das abgelaufene Stammzertifikat migriert werden?

Wolfgang
quelle

Antworten:

4

Ich kann nur für Verhalten in Outlook sprechen, aber ... ein abgelaufenes Zertifikat gibt eine Warnung aus, wenn ein Benutzer seine E-Mail öffnet und sagt, dass sie nicht vertrauenswürdig ist. Sie können das abgelaufene Zertifikat anzeigen und entscheiden, ob sie fortfahren und die E-Mail lesen möchten.

Es ist wie ein abgelaufener Personalausweis. Ich weiß , dass Sie es früher waren , aber Sie hätten Ihren Namen ändern oder Ihren Kopf rasieren können oder so ... Sie benötigen also einen neuen Ausweis, bevor ich Ihre Identität bestätigen kann.

In Bezug auf die Migration ...

Vertrauensmodell der Zertifizierungsstelle

"Ein abgelaufenes CA-Zertifikat im Zertifizierungspfad macht den Pfad nicht ungültig. In der Windows 2000-Infrastruktur für öffentliche Schlüssel kann ein Zertifizierungspfad gültig sein, solange das CA-Zertifikat zum Zeitpunkt der Ausstellung des Zertifikats gültig war." Also ja. Sie sollten wahrscheinlich das abgelaufene Stammzertifikat behalten.

Daniel B.
quelle
Vielen Dank für Ihre Antwort. Das Problem ist, dass der Client nicht überprüfen kann, ob das Zertifikat jemals gültig war, wenn ich mein abgelaufenes Stammzertifikat nicht behalte.
Wolfgang
social.technet.microsoft.com/Forums/en/winserversecurity/thread/… Die Top-Antwort legt nahe, dass Sie die Zertifikate für die Signaturüberprüfung aufbewahren ... wie es funktionieren würde, müssen Sie möglicherweise mehr suchen.
Daniel B.
Ich habe die Antwort mit einem Leckerbissen aktualisiert, das ich auf technet gefunden habe und das vorschlagen würde, dass Sie das abgelaufene Zertifikat migrieren sollten.
Daniel B.
Vielen Dank! Die einzige Frage, die mich noch beschäftigt, ist, wie die Benutzer ihre alten Zertifikate erhalten, wenn ich auf eine neue PKI-Infrastruktur migriere. Alle Benutzer benötigen offensichtlich ihre Zertifikate, um ihre verschlüsselten E-Mails zu entschlüsseln. Aber soweit ich weiß, werden die Zertifikate in Active Directory gespeichert, oder? Wenn nicht, wie wurden die Client-Zertifikate gespeichert? Nur über Client Backup?
Wolfgang
Ich habe einige schlechte Informationen in meinen (jetzt gelöschten) letzten Kommentar eingefügt ... also hier ist dies stattdessen. Sie möchten die abgelaufenen Zertifikate des Benutzers erneuern und denselben privaten Schlüssel verwenden. Sie sollten nicht ihr altes Zertifikat behalten müssen. technet.microsoft.com/en-us/library/cc758448(WS.10).aspx Ich bin mir nicht sicher, wie Sie damit umgehen würden, wenn es in AD integriert wäre ...
Daniel B.