集中更新互联网根证书

我希望我组织中的客户端计算机能够从组织内部的集中位置更新根证书。这曾经与 WSUS 一起使用，但我认为微软在 2014 年就放弃了这种方式。

这样做的目的是客户端不能直接访问互联网，而是通过带有身份验证门户的代理访问，就像在酒店一样。此代理属于第三方/母组织，会在 8 小时后自动注销客户端。因此，当客户端尝试从 Microsoft 网站更新证书时，如果客户端无法访问互联网，则会记录错误事件。

这本身不是什么大问题。但是当我们的客户端将错误事件转发给事件收集器时，该服务器就会被这些错误淹没。

忽略这些错误不是一个（理想的）选择，因为我们可能会忽略那些实际上没有更新证书的客户端，即使可以访问互联网。

有任何想法吗？