Was erhalten (bzw. besser: gültig) bleibt, sind die Signaturen, die innerhalb der zwei Jahre mit dem Zertifikat und Timestamping erstellt wurden.

Das Zertifikat "bleibt erhalten" (klar, die Datei wird nicht Remote von Deinem Rechner gelöscht), kann aber nicht mehr zum Signieren verwendet werden.

Verlängern lassen kann man ein Zertifikat selber nicht - das Datum ist da mit drin - wohl aber den Vertrag mit dem Anbieter. Dann bekommt man ein neues Zertifikat mit neuem Gültigkeitszeitraum.

Aus dem Grund macht es unserer Erfahrung nach Sinn, Skripte zum Signieren das Quell-Zertifikat per Subject und nicht per Serial oder Hash auswählen zu lassen, sonst muss man alle 1 bzw. 3 Jahre die Skripte anpassen bzw. übersieht je nach Fehlerbehandlung, dass nicht mehr signiert wird.