Quando você atualiza sua CA para o SHA2, a nova configuração afetará apenas os certificados * * recém * emitidos. Ou seja, os certificados emitidos anteriormente não serão alterados e funcionarão como antes até você substituí-los.
Estou iniciando o processo de migração de nossa autoridade de certificação interna da Microsoft para suportar o SHA-2 e não consegui encontrar uma resposta sobre as ramificações desse processo. Eu encontrei o processo em si embora. Parece que o processo de migração para o certificado interno é direto. No entanto, temos vários certificados assinados por nossa CA que suportam coisas como conectividade sem fio e outros dispositivos. Esses serviços levarão algum tempo para copiar o novo certificado para os dispositivos remotos antes que possamos ativá-lo, portanto, precisamos preparar a migração para os novos certificados fora do certificado de domínio para o SHA-2. O que preciso saber é se um certificado SHA-1 que já existe na autoridade de certificação ainda existirá e continuará funcionando se fizermos o processo de migração para migrar para o SHA-2 no certificado de domínio.