Aquí tienes muchas preguntas combinadas en una sola, y no intentaré responderlas todas.
Con respecto a los esquemas de números de serie, soy consciente de una instalación que originalmente decía "tenemos dos máquinas de firmas, agreguemos un prefijo de 100000 a los números generados por la segunda máquina. Resulta que no tomó tanto tiempo como planearon consumir cien mil números de serie, y su esquema colapsó. Los números de serie pueden ser bastante largos. Recomendaría usar un hash de la clave pública como el número de serie, o al menos una fracción significativa de la misma (necesita sea lo suficientemente grande como para asegurarse estadísticamente de que evitará colisiones, teniendo en cuenta la paradoja del cumpleaños.) Solo tienen que ser únicos, no secuenciales.
Las CA raíz se establecen a menudo para 10 o 20 años de vida; son trotados solo para firmar certificados de firma de CA subordinados, y se mantienen físicamente cerrados en una caja fuerte el resto del tiempo. Los SCA están configurados para caducar con mayor frecuencia, ya que se instalan en sistemas en línea y se utilizan constantemente, lo que los expone a un mayor riesgo. Pero cada certificado de firma debe caducar después de la vigencia del certificado más largo que emita. Si intenta cortarlos demasiado cerca, se encontrará con problemas cuando todos expiren al mismo tiempo. En una precaución relacionada, debe asegurarse de que sus certificados de CA subordinados no caduquen todos al mismo tiempo.
No estoy seguro de por qué muestra "certificados de cliente" firmando otros "certificados de cliente". Un certificado que se puede usar para firmar tiene una gran cantidad de autoridad y, por lo general, no se arriesgaría a delegarlo a un tercero. Si tiene ese tipo de relación, sería más común ofrecer un servicio de firma a sus clientes que necesitan certificados.
También es hora de pensar en CRLs y / u respondedores de OCSP. También debe considerar el seguimiento de sus certificados. Puede emitirlos todo el día, pero le aseguro que la mayoría de sus clientes olvidarán solicitar nuevos hasta el día en que caduquen los antiguos. Si mantiene una lista de certificados emitidos en una base de datos, junto con las direcciones de correo electrónico del solicitante, su equipo de seguridad podrá enviar avisos de advertencia un mes antes de que caduquen los certificados.
Finalmente, hay productos de administración de certificados empresariales en el mercado que pueden administrar todos estos requisitos por usted. Si bien este no es un foro para hacer recomendaciones específicas de productos, sugiero al menos buscar en el mercado para ver qué hay disponible. Es probable que proporcionen respuestas a otras preguntas que no sabías que debías hacer.