Comece com um certificado de autenticação do cliente, que provavelmente é bom o suficiente. Você tem duas opções:
1) Compre um certificado de email. Estes também são certificados de clientes e permitem assinar e são baratos.
2) Obtenha um certificado de servidor gratuito do Letsencrypt. Eles vêm com as extensões abaixo que podem ser boas o suficiente para o seu caso de uso:
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Basic Constraints: critical
O único desafio para eles é que você precisa possuir um domínio válido para solicitá-los. A boa notícia é que o certificado é de graça