PKI更新SSL证书的最佳实践

| 在没有用户交互的情况下更新客户端SSL证书的最佳实践是什么？ 更加具体： 我有一台具有SSL私钥/公共x.509证书的服务器。 所有客户端将通过SSL与该服务器通信。 为了建立SSL连接，所有客户端都需要将服务器的公共证书导入到其受信任的位置（信任库）。 在（客户端）安装时获取服务器的证书不是问题，因为安装程序可以（通过SSL）联系服务器并获取服务器的公钥（或公司的根证书）。之后，安装程序可以将证书显示给用户以进行视觉验证，这是足够安全的。 服务器证书（或公司CA）过期后会发生什么？ 还是如果服务器证书被意外更改会怎样？ 使用新服务器SSL证书（CA）（自动）更新所有客户端的最佳实践是什么？请记住，安装后，客户端是后台进程，不可能进行可视的用户交互。 当然，最简单的方法是由基础架构管理员手动更新所有客户端。 我想知道是否存在一些无需用户干预即可自动更新客户端证书的良好做法？