Это не будет работать: сервер не знает, какие сертификаты CA известны клиенту, поэтому сервер не может решить, что отправить клиенту.Кроме того, сервер может только отправить сертификат клиенту, но не может заставить клиента импортировать новый корневой ЦС - независимо от того, получен ли запрос или нет.
Кроме того, это не имеет смысла: идея TLS / HTTPS заключается в том, что клиент будет подключаться только к серверу, идентификация которого может быть подтверждена.Если сервер может заставить клиента импортировать новый доверенный корневой CA, злоумышленник может сделать то же самое, и, таким образом, человек в середине атаки будет возможен.
Если вместо этого просто захотеть узнать, будет ли клиент доверять определенному сертификатуили нет, можно включить ресурс (изображение, скрипт ...), обслуживаемый этим сертификатом, в хорошо известную HTML-страницу, а затем проверить с помощью какого-либо скрипта на странице, успешно ли загружен ресурс.Эта проверка также может привести к перенаправлению клиента, например, на страницу с описанием проблемы и ссылкой на правильный корневой CA.