Você mencionou que "vários" EFS certs foram emitidos. Você pode solicitar manualmente novos certificados EFS de sua nova autoridade de certificação para cada um desses usuários e excluí-los um de cada vez.
Chegando muito perto de encerrar nossa antiga CA. A nova autoridade de certificação está instalada e, felizmente, emitindo certificados, e a CA antiga removeu todos os modelos para que nenhum certificado fosse emitido.
Minha preocupação com o processo decommissiong está revogando certificados "Basic EFS". Parece que tem havido vários desses certificados emitidos em nosso domínio e, embora os usuários em questão sejam inflexíveis, eles não têm documentos criptografados. Eu levo isso com uma pitada de sal. Durante a decomposição, o processo é definir a CRL para um período de tempo adequado e depois revogar todos os certificados. Como o "EFS básico" não suporta o registro automático, estou preocupado com o fato de que acabarão sendo documentos criptografados que agora não podemos acessar.
Existe um método para garantir a transferência contínua de certificados EFS de uma CA para outra? Ou estou complicando demais e um novo certificado será emitido quando exigido pela nova autoridade de certificação?
Você mencionou que "vários" EFS certs foram emitidos. Você pode solicitar manualmente novos certificados EFS de sua nova autoridade de certificação para cada um desses usuários e excluí-los um de cada vez.