Todo depende de lo que quieras hacer.
Primero, a menos que solo tenga dos máquinas y realmente necesite una solución barata, evite los certificados autofirmados. Son gratuitos y fáciles de generar, pero el mantenimiento se vuelve exponencialmente más difícil a medida que agrega servidores que conducen a un comportamiento inadecuado (confiando ciegamente en los certificados de forma permanente en cada servidor, utilizando certificados con una caducidad muy larga, etc.).
Ahora, hay otras dos opciones: configurar tu CA o usar una raíz externa.
Configurar tu propia CA es complicado: por un lado, es muy fácil de hacer, por el otro, es bastante difícil de hacerlo correcto : hay muchas trampas muy fáciles para caer eso reducirá sustancialmente la seguridad (y, a veces, la facilidad de uso) de su PKI, por lo que es una solución que debe planearse, probarse, implementarse y mantenerse cuidadosamente.
Dicho esto, tener una CA interna (asumiendo que está correctamente configurada y mantenida) le dará muchas herramientas muy poderosas para configurar la seguridad interna y hace que la administración de certificados de servidores individuales sea MUCHO más fácil (en algunas situaciones, puede ser completamente automatizado).
La alternativa es usar una CA comercial. Si se cumplen las siguientes condiciones, entonces es una solución bastante buena:
- Sus necesidades de seguridad se incluyen en la oferta estándar (por ejemplo, si solo desea proteger servidores web).
- Planea usar exclusivamente dominios públicos que posee (es decir, no "mycompany.local", sin dirección IP, sin nombres NetBIOS "cortos").
- Es posible que necesite, en algún momento, ofrecer acceso externo a algunas (o todas) de sus máquinas internas.
Un último consejo: evitar el uso de certificados únicos de comodín en varios servidores. Eso hará que sea más difícil mantener sus claves privadas de forma segura y la violación de un solo servidor dejará a toda su infraestructura en una situación vulnerable.