Pytanie dotyczy dobrych praktyk w zakresie odnawiania certyfikatu urzędu certyfikacji (Root Cert.). Zakładając 5 letnią ważność tego certyfikatu, jeśli nasz urząd certyfikacji ma wydawać certyfikaty na 2 lata, max. co 3 lata należy odnawiać jego certyfikat. I teraz pytania:
1. Czy stosując klucz o długości 4096 bitów, odnawiając certyfikat należy (warto?) generować nową parę kluczy? Czym praktycznie (poza zwiększonym bezpieczeństwem) to skutkuje?
2. Czy po wygaśnięciu (5 lat) certyfikatu warto dla porządku (więcej plików - łatwiej o pomyłkę) usuwać go z AD (pkiview.msc->Manager AD Containers) oraz jego certyfikaty krzyżowe (do starszego i nowszego certyfikatu)? Czy usuwać także listy CRL oraz AIA?