Suas suposições estão erradas - nenhuma autoridade de certificação pública emitirá um certificado para usar como seu certificado raiz.
Você gera sua própria autoridade de certificado autoassinada e a distribui aos clientes para que eles confiem em você.
Então você usa isso para assinar seus certificados.
Todas as CAs públicas são auto-assinadas - elas estão incluídas no sistema operacional ou no navegador porque o fornecedor do SO decidiu que elas são confiáveis e as adicionou. Se eles emitirem um certificado de assinatura, você poderá usá-lo para criar um certificado perfeitamente válido para google.com ou microsoft.com. Isso seria ruim. A menos que você seja a NSA ou algo assim, eles não farão isso.
No Windows, a distribuição do certificado é feita virtualmente de forma automática por meio do diretório ativo em todos os computadores conectados ao domínio.
Se você deseja obter certificados confiáveis fora da sua rede, é necessário comprar certificados individuais ou curinga para cada domínio. A execução de sua própria autoridade de certificação geralmente é usada apenas dentro de sua própria rede. Pode funcionar externamente, mas você precisa garantir que as pessoas adicionem seu certificado raiz a seus certificados confiáveis.