Для промышленного использования посоветую OpenTrust PKI или neXus Certificate Manger. Для личного использования или для небольших инсталляций можете посмотреть retrust.me.
При выборе PKI есть ряд нюансов. Например: какие сертификаты вы планируете выпускать, какая схема выпуска (централизованная, децентрализованная), нужна ли поддержка SCEP, нужен ли OCSP, требуется ли выпускать сертификаты в соответствии с ГОСТ, планируется ли архивирование ключей шифрования и пр.
Технически развертывание не такое сложное. Важно продумать варианты использования PKI, архитектуру, разработать политики и регламенты, назначить "хранителей ключей", провести key ceremony...
Требования к железу зависят от софта. Но в общем случае вам может понадобится:
- offline CA либо в виде сервера либо в виде флэшки (нескольких флэшек)
- online CA - виртуалка или отдельный сервер
- HSM - для защиты ключей
Банально, но упомяну, что для всего нужно иметь резерв по оборудованию.
И да, я работаю в этой сфере.
