Certificato EFS scaduto e CA radice offline

1

Se un certificato EFS sta scadendo e sta tentando di rinnovarsi E il emettere un subordinato che ha emesso quel certificato è inattivo, offline o ha è un certificato subordinato scaduto, il certificato EFS verrà rinnovato da a server di emissione diverso che ha lo stesso modello pubblicato?

In tal caso, è possibile per l'utente decodificare i suoi vecchi file con il nuovo certificato?

    
posta Markie Mark 09.01.2017 - 16:09
fonte

2 risposte

0

Questi sono i risultati del test.

Se un certificato EFS è scaduto e il server CA che ha emesso questo certificato è offline, il computer locale ne genererà uno nuovo. Può essere un certificato autofirmato (SHA1) o un certificato da un altro server CA.

Finché hai il certificato (scaduto) con la chiave privata, i file possono essere sbloccati / decodificati.

I file già esistenti utilizzeranno il vecchio certificato, anche se si modificano i file. I nuovi file verranno crittografati con il nuovo certificato.

    
risposta data 18.01.2017 - 13:06
fonte
0

Purtroppo non conosco la risposta alla prima metà della tua domanda. Credo che la risposta sia che il cliente si iscriverà a un CA diverso per un nuovo certificato EFS, ma non sono sicuro che userà la stessa coppia di chiavi per quel rinnovo o genererà una nuova coppia di chiavi.

Indipendentemente dalle specifiche, il client non scarterà il vecchio certificato EFS e la chiave quando ne riceve uno nuovo. Rimarranno nel keystore locale e saranno comunque accessibili quando l'utente tenta di accedere a qualsiasi file precedentemente crittografato. Credo che ogni volta che si accede a un file crittografato, EFS aggiornerà la voce chiave di crittografia file associata (FEK) con il nuovo certificato e / o chiave privata. Questo è qualcosa che potresti testare configurando questo scenario e vedendo quali cert thumbprint sono associate al file prima e dopo.

    
risposta data 14.01.2017 - 18:54
fonte

Leggi altre domande sui tag