Não há ligação implícita entre o (s) certificado (s) que um cliente usa para autenticar um servidor e aqueles que um servidor usa para autenticar um cliente.
É perfeitamente possível que os clientes autentiquem o servidor usando um certificado emitido por terceiros confiáveis, como o que você tem agora, enquanto o servidor continua a autenticar os clientes usando uma CA particular. Também é possível que o servidor autentique esses mesmos clientes usando um pacote de certificado público. Mas se você quiser que o último se aplique, você não pode assinar esses CSRs; eles devem ir para o GoDaddy (ou outro terceiro confiável) também, cada um, e devem ser assinados.
Por isso, receio que a resposta seja depende . Se o seu servidor ainda estiver configurado para usar uma raiz privada da CA para autenticar os clientes, você deverá assinar os CSRs com essa raiz privada. Os clientes podem continuar a autenticar o servidor usando um pacote público e o novo certificado de terceiros do servidor; Não há nada de errado com esse modelo. Se, no entanto, você reconfigurar seu servidor para usar um pacote de certificado público para autenticar os clientes, cada cliente precisará de um certificado assinado por terceiros confiáveis e você terá que se acostumar a pagar por eles.
Quanto à forma como você vê uma barra verde, talvez seja porque você importou a raiz de sua CA como um certificado de assinatura válido, ou pode ser que ela não tenha sido assinada de maneira privada, mas pública. É impossível dizer sem ver o certificado em questão.