alguém sabe o que acontecerá com os emails criptografados / assinados quando um certificado de autoridade raiz expirar na minha rede de domínio? O certificado ainda pode ser validado pelos clientes e eles reconhecerão que o certificado era válido quando o email foi criptografado / assinado?
Respectivamente, o que acontecerá quando ocorrer uma migração para uma nova infraestrutura ou se eu instalar uma nova CA raiz? Também é necessário migrar o certificado raiz expirado?
Só posso falar por comportamento no Outlook, mas ... um certificado expirado emitirá um aviso quando um usuário abrir seu email dizendo que não é confiável. Eles podem visualizar o certificado expirado e decidir se desejam continuar e ler o email.
É como um cartão de identificação vencido. Eu sei que costumava ser você, mas você poderia ter mudado seu nome ou raspado sua cabeça ou algo assim ... então você precisa de uma nova identificação antes que eu possa validar sua identidade.
Em relação à migração ...
Modelo de confiança da autoridade de certificação
"Um certificado de CA expirado no caminho de certificação não invalida o caminho. Na infraestrutura de chave pública do Windows 2000, um caminho de certificação pode ser válido desde que o certificado da CA seja válido no momento em que o certificado foi emitido." Você provavelmente deve manter o certificado raiz expirado.