Подписать недействующими ключами можно только локально на компьютере в случае отключения проверки статуса сертификата (OCSP сервер) и при условии что дата на компьютере находится в пределах срока действия выпущенного сертификата. Но это особо ничего не даст, тк в дпс база данных сертификатов по статусу сверяется минимум раз в сутки - т.е. если сегодня аннулировали сертификат на старого директора - то может быть через шлюз пройдет максимум до конца суток, далее от них будет ответ "сертификат не чинний за протоколом OCSP".
при работе через кабинет должно сразу проверить и показать ошибку что сертификат недействующий (если он уже аннулирован)