Un certificado de confianza está firmado por una clave privada de CA. Lo que hace que sea una CA es que
a) tiene marcas especiales que indican que es una CA (bueno, más o menos), y
b) su clave pública se almacena en el significado de tu almacén de confianza su computadora confía en ella y sus hijos.
El certificado que tiene está destinado a un propósito específico, y tiene sus propias marcas especiales que denotan para qué se utiliza. Los certificados de cliente también tienen sus propias marcas, etc.
Ahora, puede usar su clave privada para firmar otros certificados en el sentido técnico, pero nadie confiará en ellos porque su certificado no tiene las marcas especiales que indican que está permitido hacerlo.
Entonces, sí, necesita su propia CA para usar los certificados de los clientes de la forma en que desea usarlos. Dicho esto, cada servicio que necesite verificar uno de esos certificados necesitaría una copia de la clave pública de la CA en su almacén de confianza. Por supuesto, si tenía el poder de firmar tales certificados en los que se confiaba, tendría a su disposición una inmensa cantidad de poder porque podría crear certificados confiables para servicios que no son legítimamente suyos.