Сертификаты Active Directory с истекшим сроком действия вызывают проблемы с аутентификацией 802.1x

Мы находимся в процессе развертывания 802.1x в нашей среде. С учетом сказанного, есть довольно много клиентов, которые возвращаются к более старому (просроченному) сертификату, который не позволяет им проходить аутентификацию и получать доступ к сети. Можно ли удалить сертификаты с истекшим сроком действия из AD или это вызовет проблему с CRL? Руководство хотело бы продвинуться вперед с этим проектом, но эта проблема с аутентификацией нарушает условия сделки...

Спасибо вперед

Билл