L'infrastruttura PKI potrebbe aiutarti.
Non sono esattamente sicuro di quali siano le tue esigenze, ma potresti insistere per generare un certificato di root per dire 10-20 anni e pubblicare i tuoi elenchi di revoche di certificati per i clienti, e quindi generare "sub CA" per la delega di specifiche attività di firma delle chiavi con limitazioni specifiche sulla firma delle chiavi, come lunghezza della chiave, tipo di chiavi da firmare, periodo massimo di tempo, ecc. (consultare i dettagli x509).
In questo modo, tramite delega, la persona è sul te per proteggere la CA principale e, se in qualsiasi momento desideri revocare la delega, puoi pubblicare CRL per le CA delegate.
Ora hai il controllo definitivo e puoi configurare e offline la CA principale, e solo pubblico sono necessarie le catene di certificati e la CA pubblica.
In questo modo, possono ancora eseguire il loro lavoro in outsourcing, ma si mantiene il controllo sulle chiavi del castello per poter parlare.