Как лучше проверить сертификат подписи ключ которого уже истек

Добрый день.

Функционал: 1) Получаем .cms файл. 2) Выдаем информацию по этой cms подписи. *(Схоже с ezSigner)

Есть кейс с подписью которая была подписана несколько месяцев назад, и сейчас ключ которым эту подпись подписали истек по сроку.
Когда проверяем на валидность сертификата(OCSP) выходит ошибка:

[8f00042] Срок действия сертификата истек либо еще не наступил: ERROR 0x8f00042: Verify chain and certificates:  - certificate has expired or is not yet valid.

Когда проверяем на валидность саму подпись(VerifyData) выходит ошибка:

[8f00042] Срок действия сертификата истек либо еще не наступил: ERROR 0x8f00042: Verify chain and certificates:  - certificate has expired or is not yet valid.

Конечно можно добавить флаг FlagNoCheckCertTime(65536) для VerifyData, и так же убрать проверку по OCSP сертификата. Но помоему их все таки нужно как то проверять, потому что например на ezSigner эта подпись отмечена как:
"Результат проверки подписи: Успешно, Результат проверки сертификата: Успешно"
В нашем кейсе мы засчет флага не будем проверять эти параметры, соответственно подписать его как “Успешно” не получится. Хотел узнать есть ли возможность у библиотеки как то такие подписи проверить нормально, или ezSigner просто подписывает их как “Результат проверки сертификата: Успешно” хоть и не проверял их цепочку по OCSP(через флаг игнорирования)?

Добрый день!

С этого момента не понял сам вопрос:

Рахмет за ответ.
Проблема в том что не могу проверить сертификат на OCSP потому что на момент проверки ключ которым подписали уже истек(OCSP выдает ошибку). А вернуться на момент времени когда подписывалась эта cms подпись не могу, checkTime уже не используется, документация:

X509ValidateCertificate() 
параметр [in] __int64 checkTime — дата и время, на момент которого необходимо провести проверку (зарезервировано, в текущей версии не используется)

Вы планируете переделать эту функцию чтобы было без checkTime? Чтобы автоматом всё само проверяло?
Вот из-за этого еще задумался над проверкой ezSigner. Там показывает на эту подпись как “Результат проверки сертификата: Успешно”. Возможно я не так проверяю на OCSP, если у ezSigner всё ок, из-за этого решил спросить на форуме. Но по документации других возможностей проверить нет

Да, в будущем добавим checkTime.

А какой автоматизации идет речь?

OCSP проверяет на отозванность сертификата. В самом сертификате указаны срок действия сертификата. Тут уже надо самим проверять исходя из этих дат и времени.