インターネットに外部公開しているサーバーでは正当性を認証するためにSSL証明書を導入し、
1年ごとに更新しているのが一般的だと思いますが、世界的に2017年1月以降、
SHA1のSSL証明書が発行されなくなり、SHA2のSSL証明書しか発行されなくなっております。

使用しているASAでも証明書機関でSSL証明書を取得し、導入していますが証明書更新の影響を調査しております。

使用している環境は下記です。

　　ASA OS 8.4系

　　anyconnect 3.x系

　　使用認証手段　ID/PASS　※クライアント証明書などは使用なし

【質問】
①セキュリティの強化は置いておいて一番影響を少ない形での対応を検討しております。

　 インポートするSSL証明書だけSHA2の証明書に更新し、anyconnectクライアントとの

　セキュリティ仕様は変えずに接続することは可能でしょうか？

②証明書有効期限が切れた時に、接続が出来なくなるのでしょうか？

　どうなるかご存知の方がいらっしゃれば教えて下さい

③「①」が出来なかった場合、自己証明書に移行など何かいい案があれば教えて下さい。

release note上では8.4系でSHA2対応しているとあるのですが、グローバルのForumなどを見ると、

SHA2対応にはTLS1.2に対応している必要があり、9.3(2)以降でないと更新が出来ないのではないかと危惧しております。

Cisco ASA 5500 シリーズの概要
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/intro_intro.html?bid=0900e4b182bdeb70#pgfId-1278915