Se in esecuzione su linux, certmonger fa esattamente questo: tiene traccia dei certificati, e se hai le librerie configurate per questo, ti avverte quando questi sono prossimi alla scadenza e se i librerie per questo sono disponibili e configurati, prende anche azione automaticamente (come inviare un certificato per il rinnovo, riceverne uno nuovo, installarlo dove necessario e anche aggiornare i demoni in seguito).
Ovviamente, tutto dipende dall'avere i plug-in corretti per tali azioni, o da scrivere in Python se non esistono ancora. Dalla mia esperienza, ad esempio, si integra molto bene con la soluzione IPA di Fedora (RedHat's IdM), parte della quale è una CA.