Я бы для начала посмотрел:
1) нельзя ли на данную машину (или в локальную сеть) просто поставить свой, локальный "удостоверяющий центр"
2) может ли "удостоверяющий центр" работать "на компе не имеющем выхода в инет"
3) что требуется заказчиком/законом
Понятно, что по деньгам получается не сильно дешево ( https://www.cryptopro.ru/products/ca), возможно "выход в инет" получится дешевле )))

IMHO

Тут дело не в "дешевле", дело в политике безопасности..........
Если деньги есть, IMHO логично развернуть локальный ЦС и не парится.
Если, конечно, он может нормально без связи с вышестоящим центром работать.

Я не сталкивался:
1. Насколько я вижу, подход к эл.подписям обычно на "отъеб....". Что требуют, то и сделаем по минимому (что и правильно, см. п.4)
2. Делал для СМЭВ. Но там, вроде, subj обеспечивать должен шлюз. Т.ч. не парились.
3. Вопрос, что требуется по документам/закону. Не юрист. Т.ч. нужно понимать впишется ли задержка "на обновление списка" в требования нормативных документов.
4. Ну и не забываем, что куда ни чхни, всюду требуются сертификаты. Ваше решение "по работе со списками отзыва сертификатов" будет "специализированным программно-аппаратным комплексом, успешно прошедшим сертификационные испытания и получившим сертификат соответствия ФСБ России" ))))

Basil A. SidorovНа винде....
Тут весь вопрос, чем подписывают и чем проверяют. AFAIK CryptoPro или Java до виндовых списков будет до лампочки