Estoy trabajando para una empresa que vende productos de software a clientes, algunos de los cuales no tienen los recursos y / o los conocimientos necesarios para crear y mantener su propia CA (utilizada para la comunicación SSL de nuestro software). En estos casos tenemos que proporcionarles los certificados. Los clientes son completamente independientes y NO deben poder comunicarse entre sí, es decir, no debe haber confianza SSL entre el Cliente I y el Cliente II. Tengo una pregunta bastante general sobre cómo construir mejor una estructura de CA de este tipo. Estas son las dos variaciones que actualmente se consideran.
CA raíz de la empresa con SubCA para cada cliente:
Root CA
/ | \
/ | \
Customer I Customer II Customer III
CA independiente (raíz) para cada cliente:
Customer I Customer II Customer III
¿Cuáles serían los pros y los contras de cada variante? ¿Existe una mejor práctica establecida para tal configuración?