仕事で必要に迫られ、ど素人の状態から調べてみた結論です。

インターネットにサービスを提供する場合のクライアント認証で、特定少数（例えば社内の人）に適用する場合はプライベートCAで十分。パブリックCAとプライベートCAでソフトウェア上のセキュリティ強度の違いはない（はず）ので、秘密鍵の保管さえちゃんとしていれば問題はなさそう。
ルート証明書を配ったり、ブラウザにインストールしてもらう手間はありますが、特定少数ということならば対応は可能です。
特定少数相手であれば、パブリックCAのコストは見合わない。

うーん、でも心理的にはプライベートCAに対する怖さっていうのは残るんですよね。ど素人だからでしょうが・・・・・