Wenn Du extern signierte Zertifikate nimmst, musst Du nicht die Seriennummer prüfen (die sich ja auch ändern kann, wenn Du nach Ablauf neue ausstellst) - Du prüfst einfach, ob die Zertifikate auf "Codehunter AG" ausgestellt sind. Da die Trustcenter sowas "sicher" prüfen, d.h. Deinen Perso, Deinen Führerschein, die letzte Stromrechnung Deines Büros und nen Handelsregisterauszug fordern (als Beispiel).
Wenn Du also ein gültig geprüftes Zertifikat hast, bist Du sehr sicher, dass der Eigentümer ("Codehunter AG") stimmt.
In Deinem Fall übernimmt es also lediglich die nervige fehleranfällige Geschichte, den Clients neue Serverzertifikate beibringen zu müssen.
In Sachen Zugangsschutz hat mjustin übrigens das Stichworte genannt: Client-Zertifikate. Kennt man am ehesten von
SSH - Anmeldung per Zertifikat statt Passwort. Macht StartSSL auch für ihr Benutzerkontrolzentrum (https).
IRC-Nutzer können das bei euirc auch...