PKI更新SSL證書的最佳實踐

Question

在沒有用戶交互的情況下更新客戶端SSL證書的最佳做法是什麼？

更具體的：
我有一個SSL私鑰/公共x.509證書的服務器。 所有客戶端都將通過SSL與此服務器進行通信。 爲了建立SSL連接，所有客戶端需要將服務器的公共證書導入到他們的信任位置（truststore）。

獲取服務器的證書在（客戶端）安裝時是沒有問題的，因爲安裝程序與服務器（通過SSL），並獲取服務器的公鑰（或本公司的根證書）。之後，安裝程序可以將證書顯示給用戶進行視覺驗證，並且這足夠安全。

服務器證書（或公司CA）過期後會發生什麼？
或者如果服務器證書被意外更改會發生什麼情況？

什麼是使用新服務器SSL證書（CA）（自動）更新所有客戶端的最佳做法？考慮到在安裝之後客戶端是後臺進程並且不是可能的視覺用戶交互。

當然，最簡單的方法是由基礎設施管理員手動更新所有客戶端。

我想知道是否有一些已知的良好做法，自動更新客戶端的證書，無需用戶干預？

Answer 1

理想情況下，您的服務器證書應由長壽命（10至20年）的受信任根CA證書頒發和簽名。只有根CA證書將安裝在客戶端。

服務器證書本身，即使你每年更新，就不需要，因爲根簽署，是值得信賴的被傳播到客戶端。

如果您使用的是自簽名證書，這就是爲什麼他們通常從證書管理的角度看待它。當它們過期或更改時，您需要每個人都更新 - 否則您會收到瀏覽器安全警告。