Se un certificato EFS sta scadendo e sta tentando di rinnovarsi E il emettere un subordinato che ha emesso quel certificato è inattivo, offline o ha è un certificato subordinato scaduto, il certificato EFS verrà rinnovato da a server di emissione diverso che ha lo stesso modello pubblicato?
In tal caso, è possibile per l'utente decodificare i suoi vecchi file con il nuovo certificato?
Questi sono i risultati del test.
Se un certificato EFS è scaduto e il server CA che ha emesso questo certificato è offline, il computer locale ne genererà uno nuovo. Può essere un certificato autofirmato (SHA1) o un certificato da un altro server CA.
Finché hai il certificato (scaduto) con la chiave privata, i file possono essere sbloccati / decodificati.
I file già esistenti utilizzeranno il vecchio certificato, anche se si modificano i file. I nuovi file verranno crittografati con il nuovo certificato.
Purtroppo non conosco la risposta alla prima metà della tua domanda. Credo che la risposta sia che il cliente si iscriverà a un CA diverso per un nuovo certificato EFS, ma non sono sicuro che userà la stessa coppia di chiavi per quel rinnovo o genererà una nuova coppia di chiavi.
Indipendentemente dalle specifiche, il client non scarterà il vecchio certificato EFS e la chiave quando ne riceve uno nuovo. Rimarranno nel keystore locale e saranno comunque accessibili quando l'utente tenta di accedere a qualsiasi file precedentemente crittografato. Credo che ogni volta che si accede a un file crittografato, EFS aggiornerà la voce chiave di crittografia file associata (FEK) con il nuovo certificato e / o chiave privata. Questo è qualcosa che potresti testare configurando questo scenario e vedendo quali cert thumbprint sono associate al file prima e dopo.
Leggi altre domande sui tag windows certificate-authority efs