Die Microsoft-Zertifizierungsstelle signiert Zertifikate immer mit dem zum aktuellsten Zertifizierungsstellen-Zertifikat gehörenden Schlüssel. Das Signaturzertifikat für eine OCSP-Antwort sollte gemäß RFC 6960 jedoch vom gleichen Schlüssel signiert werden, wie das zu überprüfende Zertifikat:
The CA SHOULD use the same issuing key to issue a delegation certificate as that used to sign the certificate being checked for revocation.
https://tools.ietf.org/html/rfc6960#section-4.2.2.2
Wird das Zertifizierungsstellen-Zertifikat erneuert und dabei ein neues Schlüsselpaar verwendet, ist es jedoch erforderlich, dass der Onlineresponder weiterhin gültige Signaturzertifikate für die mit dem vorigen Zertifizierungsstellen-Zertifikat ausgestellten Zertifikate vorhält, da diese schließlich weiterhin gültig sind und auf Sperrung überprüft werden müssen.
„Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben“ weiterlesen
Deutsch 
English