PKI 更新 SSL 证书的最佳实践

Question

在没有用户交互的情况下更新客户端 SSL 证书的最佳做法是什么？

更具体地说：
我有一个带有 SSL 私钥/公共 x.509 证书的服务器。 所有客户端都将通过 SSL 与该服务器通信。 为了建立 SSL 连接，所有客户端都需要将服务器的公共证书导入其受信任的位置（信任库）。

在（客户端）安装时获取服务器证书不是问题，因为安装程序可以（通过 SSL）联系服务器并获取服务器的公钥（或公司的根证书）。之后，安装程序可以向用户显示证书以进行视觉验证，这已经足够安全了。

服务器证书（或公司 CA）过期后会发生什么？
或者如果不小心更改了服务器证书会怎样？

使用新的服务器 SSL 证书 (CA) （自动）更新所有客户端的最佳做法是什么？请记住，安装后客户端是后台进程，不可能进行可视化的用户交互。

当然，最简单的方法是由基础架构管理员手动更新所有客户端。

我想知道是否有一些已知的良好做法可以在无需用户干预的情况下自动更新客户端的证书？

Answer 1

理想情况下，您的服务器证书应该由具有较长生命周期（10 到 20 年）的受信任根 CA 证书颁发和签名。客户端只会安装根 CA 证书。

服务器证书本身，即使您每年更新它，也不需要传播给客户端，因为根已对其进行了签名并且是受信任的。

如果您使用的是自签名证书，这就是为什么从证书管理的角度来看它们通常不受欢迎。当它们过期或更改时，您需要每个人都更新 - 否则您会收到浏览器安全警告。