Возник следующий вопрос.
Предположим есть УЦ, где сертификат УЦ выпущен на 5 лет. Для клиентов сертификаты выпускаются на 1 год. Получается УЦ может выпускать новые клиентские сертификаты в течении 4 лет. Поправьте, если не прав.
Следовательно, после прохождения 4 лет если будут выпускаться новые серты, то как только пройдет 5 лет с момента выпуска корневого сертификата цепочка доверия строится не будет, ну вернее будет, только корневой серт будет протухшим.
Всвязи с этим вопрос: по истечении 4 лет мы "завязываем" с выпуском новых клиентских сертов, используем закрытый ключ только для публикации CRL. Как тогда технически обеспечить продолжение деятельности УЦ, то есть сгенерировать новую ключевую пару и выпустить новый серт? При этом получается нам на этом же УЦ необходимо поддержать старый серт и периодически публиковать CRL?
или так не делают? Например, элементарно разворачивают новый УЦ может даже в виртуалке, в течение года эти два УЦ работают в параллели, затем старый УЦ сворачивают.
Поясните, пожалуйста!

Почитал, получается, если используешь ПО КриптоПро УЦ, то все пройдет гладко - поднимать дополнительного сервака не нужно, чтобы обеспечить одновременное использование двух ключей. А средствами Microsoft Win 2003 это сделать можно?