Pour l'auth Serveur -> Client effectivement il faut avoir un certificat ayant une chaine de certification partant des ROOT CA du browser, autrement le browser râle.
Cependant pour l'auth Client -> Serveur, ce n'est pas obligatoire (tu as le contrôle sur les Trusted CA de ton serveur). Donc il suffit de créer une autorité de certification "ROOT" (qui est basiquement une paire de clé et un certificat auto-signé). Et de signer les demandes de certification des clients( contenant la clé publique) avec ton ROOT CA et de renvoyer le certificat au client.
Le client utilisera ce certificat pour s'authentifier envers le serveur. Comme tu auras ajouté ton CA à la liste des Trusted CA, le serveur le verra comme un certificat valide.
Ça demande quand même de créer un PKI et de savoir un minimum ce qu'il faut faire (et ne pas faire)