如果您续订（相同密钥、相同名称）根 CA 证书，则叶证书仍将有效。证书的身份由它的密钥和名称定义，如果两者都没有改变，那么它实际上是同一个证书。更新所做的只是更改原始证书的有效期。

将上述内容与身份现在已更改的重新密钥（新密钥，相同名称）进行对比，您需要重新签署叶证书（或者最好只是为这些情况准备的在线 CA）。

在大多数情况下，CA 将颁发具有较长到期日期的交叉签名证书。大多数现代 Web 浏览器将在其证书存储中包含交叉签名证书，如果浏览器发现原始根证书已过期，则会链接回交叉签名证书而不是过期的根证书。有关更多信息，请参阅https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020。

但是，一些不容易更新的设备（例如物联网设备）可能没有交叉签名证书。在这些情况下，由于根证书过期，证书检查可能会失败。如果您知道尚未使用交叉签名证书更新的客户端正在访问您的服务器，那么您可能希望将叶证书替换为链接到未过期根证书的证书。大多数 CA 都免费颁发替换证书，其有效期与被替换证书相同。