Hey

Stichwort letsencrypt.org: Die signieren kostenfrei und die CA ist in den großen Browsern deployed. Voraussetzungen: ein DNS Eintrag auf deine IP mit dem Namen der im Common Name deines Certs steht und ein Service, der auf den .well-known Pfad hört und eben generell das Erneuern der kurzlebigen (glaube 90 Tage) Zertifikate automatisch reagiert.

Da du dem Benutzer vermutlich die Certs ohnehin in ein Verzeichnis legen dürftest, kannst du es auch einfach dem Benutzer überlassen, wie er an ein signiertes Cert kommt. Deployed zum Browser muss immer die komplette Zertifikatskette werden.

Brighty