Expiração da autoridade de certificação

No snap-in do MMC de autoridade de certificação ( certsrv.msc ), se você clicar com o botão direito do mouse no objeto do servidor, em "Todas as tarefas", há uma opção para renovar o certificado.

Editar: definitivamente percebemos que você não especificou o tipo de CA. Claramente, eu tenho lidado com muito Windows hoje. Se necessário (ou para completar, se não), aqui está o procedimento via OpenSSL:

openssl req -new -key oldrootca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey oldrootca.key -out newcrt.crt

Muitas autoridades de certificação confiáveis e conhecidas têm validade de 20 ou 30 anos ou mais. A tendência é manter as autoridades de certificação subordinadas abaixo delas, que operam sob a confiança da autoridade de certificação raiz. A CA raiz pode ser colocada off-line e não usada para qualquer certs do usuário final. Se uma autoridade de certificação subordinada estiver comprometida, ela poderá ser substituída sem afetar o certificado de autoridade de certificação raiz confiável.

O outro aspecto disso é que, em um cenário otimista, deve haver alguma maneira automatizada de gerenciar e substituir certificados antes da expiração. Existem aplicações comerciais para isso e algumas pessoas desenvolvem as suas próprias. Sem isso, o processo tem um alto nível de esforço administrativo e está sujeito a erros. Um componente de um negócio pode ser encerrado se um certificado expirar antes de ser substituído.

Você pode renovar uma autoridade de certificação raiz, mas se os clientes não tiverem uma maneira organizada de atualizar esse certificado, pode haver problemas. Se você criar uma nova autoridade de certificação raiz, poderá realizar essa transição independentemente do certificado de autoridade de certificação raiz existente, sem afetar as operações existentes.