Должны ли мы повторно развертывать банки после обновления с тем же CSR?

Да, вам нужно подписать их снова. Сам сертификат укажет свою дату истечения срока действия, и сертификат будет развернут вместе с вашим пакетом. Это совершенно новый сертификат, который у вас есть (даже если эмитенты часто называют его «продлением»).

Установщики и другое программное обеспечение для проверки обычно не используют Интернет для проверки действительности сертификата. Вместо этого они проверят дату истечения срока действия в вашем файле сертификата (который упакован в подписанный JAR-файл) и проверят действительность сертификата, сравнив его со встроенным списком сертификатов издателя (CA) компьютеров. Интернет используется в этом процессе только для загрузки списка отзыва — базы данных сертификатов, отозванных до истечения срока их действия, — но обычно это делается не в режиме реального времени, а по расписанию.

Как обсуждалось со службой поддержки digicert

Нет, если вы использовали параметр timestamp в процессе подписания.

Обратите внимание на этот пример: https://www.digicert.com/code-signing/java-code-signing-guide.htm#jarsigner

Параметр -tsa http://timestamp.digicert.com

Это делает вашу подпись действительной в обозримом будущем. Вам не нужно обновлять и отказываться от этого конкретного файла, если вы использовали метку времени

Вам нужно будет только обновить свой сертификат, чтобы подписывать будущие новые файлы jar, которые вы создаете.

Да. У вас есть новые сертификаты подписи, а развернутые в настоящее время версии подписаны старым сертификатом, так что для ваших пользователей ничего не изменилось.

Чтобы ваш новый сертификат был принят во внимание, вы должны снова подписать свои JAR-файлы с новым сертификатом и повторно развернуть новые подписанные файлы на клиентах.