EFS証明書が期限切れで、ルートCAがオフライン
EFS証明書の有効期限が切れて更新を試み、その証明書を発行した発行元がダウンしているか、オフラインであるか、またはその下位証明書の有効期限が切れている場合、EFS証明書は同じ公開されたテンプレートを持つ別の発行元サーバーから更新されますか?
もしそうなら、ユーザーは彼/彼女の古いファイルを新しい証明書で解読することは可能ですか?
これらはテスト結果です。
EFS証明書の有効期限が切れており、この証明書を発行したCAサーバーがオフラインの場合、ローカルコンピューターは新しい証明書を生成します。これは、自己署名証明書(SHA1)または別のCAサーバーからの証明書です。 =
秘密鍵を含む(期限切れの)証明書がある限り、ファイルのロックを解除/復号化できます。
すでに存在するファイルは、ファイルを編集しても古い証明書を使用します。新しいファイルは新しい証明書で暗号化されます。
残念ながら、質問の前半の答えはわかりません。答えは、クライアントが新しいEFS証明書のために別のCAに登録することだと思いますが、その更新に同じキーペアを使用するのか、新しいキーペアを生成するのかはわかりません。
詳細に関係なく、クライアントは新しいEFS証明書とキーを受け取ったときに、それを破棄しません。それらはローカルキーストアに残り、ユーザーが以前に暗号化されたファイルにアクセスしようとしたときにもアクセスできます。暗号化されたファイルにアクセスするたびに、EFSが関連するファイル暗号化キー(FEK)エントリを新しい証明書または秘密キー、あるいはその両方で更新すると思います。これは、このシナリオを設定し、前後にファイルに関連付けられている証明書の拇印を確認することでテストできます。