CA comercial para sus certificados de cliente?

¿Por qué necesita que el certificado de cliente esté firmado por una CA comercial?

Esto es necesario para el lado del servidor, ya que la CA comercial actúa como un tercero de confianza para la mayoría de las aplicaciones cliente, ya que no tienen forma de verificar la autenticidad de su certificado público.

La mayoría de las veces, cuando se utiliza la autenticación del lado del cliente, la autoridad es el organismo propietario del servidor al que desea autenticar, y este es el organismo este que le proporcionará o firmará los certificados de cliente necesarios. En otras palabras, si desea conectarse a un servidor propiedad de la compañía 'A', necesita un certificado firmado por la compañía 'A' para continuar.

Sin embargo, para algunos casos de uso muy específicos (por ejemplo, algunos protocolos de transferencia financiera), los clientes pueden participar utilizando certificados firmados por un tercero de confianza, pero en este caso la empresa a la que desea conectarse le proporcionará la lista de terceros confiables entre los que puede elegir (Swift es el más común en esta área, pero hay algunos otros).

Hay una gran cantidad de CA comerciales que puedes comprar. Symantec es el más grande pero una búsqueda en Google de "comprar certificado ssl" le brindará otros miles de opciones.

Los certificados SSL más comúnmente disponibles tienen un campo específico que dice que no se puede usar como certificado raíz / intermedio de CA, por lo tanto, para emitir nuevos certificados.

Desde openssl x509 -in cert.pem -noout -text :

X509v3 Basic Constraints: critical
    CA:FALSE

Creo que no es posible comprar un certificado de CA de confianza pública, rompería todo el modelo de la cadena de confianza.

Continúe con la respuesta de GZBK, para ver por qué no la necesita para firmar certificados de clientes, puede hacerlo con un certificado CA autofirmado.