Насколько я понимаю о проверке подлинности SSL, полное доменное имя стороны, которой я доверяю, должно совпадать с общим именем или одним из альтернативных имен субъектов. Это относится и к клиентским сертификатам? Так что же происходит в сценарии аутентификации клиента, когда у клиентов нет фиксированного IP-адреса или доменного имени?
Сторона, выполняющая аутентификацию, всегда решает, какие проверки выполнять на удаленной стороне, а какие являются удовлетворительными. Итак, мы видим, что веб-браузеры (HTTPS) могут быть весьма раздражительными в отношении просто устаревших сертификатов, но почтовые серверы (SMTP STARTTLS) в целом не заботятся о том, кто подписывает сертификаты, которые они принимают.
Из-за этого очень сложно дать точный ответ на ваш вопрос. Но в общем-то, сервер ожидает увидеть сертификат клиента, подписанный специально назначенным корневым центром сертификации. Пока он видит правильную подпись на сертификате, встроенные детали не имеют сравнительно большого значения.