客户端（动态）第一次连接到服务器时，客户端计算机上如何安装颁发者根CA？

我读了关于web上的服务器认证，并且知道发行者Root CA应该被导入到服务器和客户端机器上的受信任根CA中以进行相互认证。客户端（动态）第一次连接到服务器时，客户端计算机上如何安装颁发者根CA？

现在我们假设它是银行应用程序。

的用户连接到银行服务器的第一次：

1. 服务器返回服务器证书来验证自身到客户。
2. 客户端获取证书并使用之前已对此服务器证书签名的受信任的根CA授权机构进行验证。
3. 客户端发送其证书和服务器验证，并且之前已对此客户端证书进行了签名。
4. 现在开始通信。

在步骤3中，我了解当部署服务器时，受信任的根CA授权安装在服务器上。 但是，在客户端计算机第一次连接（并且可以从任何计算机动态连接）的第2步中，如何在客户端计算机上安装根CA授权？