Eu gostaria que as máquinas clientes em minha organização atualizassem os Certificados Raiz de um local centralizado DENTRO da organização. Isso costumava funcionar com o WSUS, mas a Microsoft deixou isso de lado em 2014, eu acho.
A questão é que os clientes não têm acesso direto à internet, mas por meio de um proxy com portal de autenticação, como em um hotel. Este proxy, que pertence a uma organização terceirizada/pai, desconecta automaticamente os clientes após 8 horas. Então, quando os clientes tentam atualizar os certificados do site da Microsoft, com o cliente sem acesso à internet, ele registra um evento de erro.
Isso em si não é grande coisa. Mas como temos os clientes encaminhando os eventos de erro para um coletor de eventos, esse servidor fica inundado com esses erros.
Ignorar esses erros não é uma opção (desejada), pois podemos dispensar clientes que realmente não estejam atualizando os certificados, mesmo com acesso à internet.
Alguma ideia?
Parece que você precisa baixar as atualizações para um servidor da Web ou de arquivos e apontar seus clientes para ele - documento da TechNet