Каковы рекомендации по обновлению клиентских SSL-сертификатов без взаимодействия с пользователем?
Чтобы быть более конкретным:
У меня есть сервер с секретным ключом SSL / открытым сертификатом x.509.
Все клиенты будут общаться с этим сервером через SSL.
Чтобы установить SSL-соединение, все клиенты должны импортировать открытый сертификат сервера в свои надежные расположения (хранилище доверенных сертификатов).
Получение сертификата сервера во время (клиентской) установки не является проблемой, поскольку установщик может связаться с сервером (по SSL) и получить открытый ключ сервера (или корневой сертификат компании). После этого установщик может показать сертификат пользователю для визуальной проверки, и это достаточно безопасно.
Что произойдет после истечения срока действия сертификата сервера (или ЦС компании)?
Или что будет, если сертификат сервера будет случайно изменен?
Каковы рекомендации (автоматически) обновлять все клиенты новым SSL-сертификатом сервера (CA)? Принимая во внимание, что после установки клиенты являются фоновыми процессами и невозможно визуальное взаимодействие с пользователем.
Конечно, самый простой способ - вручную обновить всех клиентов администратором инфраструктуры.
Мне интересно, есть ли какие-либо известные передовые методы автоматического обновления клиентских сертификатов без вмешательства пользователя?