ADCS ルートCA証明書の更新後の古いルート証明書の利用について気になったので調べてみました。
参考になりそうな情報がこちらです。
ADCS ルートCA証明書の更新に伴う派生元の証明書について
質問の抜粋です。
お世話になります。
Windows 2016環境でAD CS証明書機能を利用しております
ブラウザアクセス(IIS)を利用したユーザー証明書の取得の際、古い(派生元の)ルート証明書を利用して証明書を発行することはあるのでしょうか?
証明書を更新するタイミングでサービスが停止する為、古いルート証明書が利用されることは無いと考えているのですが、
どこかで制御出来るのでしょうか?
ルート証明書を秘密キーを変更せずに更新した場合の質問です。
続いて、回答の抜粋です。
この件ですが、ルート証明書を「同じ秘密キーで更新」した場合、中身の更新は一切ありませんので、究極的にはどちらでやっても問題はありません。基本的に有効な証明書が対象になるはずなので、有効期限がすぎれば完全にひとつになるはずですが、期間が重なっている場合もインデックスがあるため、たぶん大丈夫なのではないでしょうか?「AD CSWeb登録」サービスを動かして試してみれば、わかるように思います。
まず、参考になったのが、ルート証明書を「同じ秘密キーで更新」した場合、中身の更新は一切ないとのこと。
そして、どちらも有効期限内であれば利用可能な状態になります。