Si un certificado EFS está expirando e intenta renovarse a sí mismo Y el subordinado emisor que emitió el certificado está inactivo, desconectado o tiene es un certificado subordinado caducado, ¿se renovará el certificado EFS de un ¿Es diferente el servidor subordinado emisor que tiene la misma plantilla publicada?
Si es así, ¿es posible que el usuario descifre sus archivos antiguos con el nuevo certificado?
Estos son los resultados de las pruebas.
Si un certificado EFS ha caducado y el servidor de CA que lo emitió está fuera de línea, la computadora local generará uno nuevo. Puede ser un certificado autofirmado (SHA1) o un certificado de otro servidor de CA.
Mientras tenga el certificado (caducado) con la clave privada, los archivos se pueden desbloquear / descifrar.
Los archivos que ya existen, usarán el certificado anterior, incluso si editas los archivos. Los nuevos archivos se cifrarán con el nuevo certificado.
Lamentablemente, no conozco la respuesta a la primera mitad de tu pregunta. Creo que la respuesta es que el cliente se inscribirá en una CA diferente para un nuevo certificado EFS, pero no estoy seguro de si usará el mismo par de claves para esa renovación o generará un nuevo par de claves.
Independientemente de los detalles, el cliente no descartará el certificado y la clave EFS antiguos cuando reciba uno nuevo. Permanecerán en el almacén de claves local y seguirán estando accesibles cuando el usuario intente acceder a los archivos cifrados previamente. Creo que cada vez que se accede a un archivo cifrado, EFS actualizará la entrada de la clave de cifrado de archivo (FEK) asociada con el nuevo certificado y / o clave privada. Esto es algo que podría probar configurando este escenario y viendo qué huellas digitales de certificado están asociadas con el archivo antes y después.
Lea otras preguntas en las etiquetas certificate-authority windows efs