La infraestructura PKI podría ayudarlo a salir.
No estoy exactamente seguro de cuáles son sus requisitos, pero podría insistir en generar un certificado raíz por unos 10 o 20 años, y publicar sus CRL para clientes, y luego generar "sub CAs" de firma de clave para delegar específicas Tareas de firma de claves con limitaciones específicas en la firma de claves, como la longitud de la clave, el tipo de claves a firmar, el período de tiempo máximo, etc. (consulte los detalles de x509).
De esa manera, a través de la delegación, el propietario está en usted para proteger la CA raíz, y si en cualquier momento desea revocar la delegación, puede publicar las CRL para las CA delegadas.
Ahora, usted tiene el control definitivo y podría configurar una CA raíz fuera de línea, y solo se necesitan las cadenas de certificados y CA públicas.
De esta manera, aún pueden realizar su trabajo subcontratado, pero usted conserva el control sobre las llaves del castillo para hablar.