Как правило, аутентификация с помощью клиентских сертификатов выполняется с использованием некоторого частного CA, который выдает клиентские сертификаты, и доверяет CA только при проверке клиентских сертификатов. В этом случае доверенный CA и только этот CA имеет полный контроль над темой сертификата, что означает, что отображение CN на пользователей совершенно нормально и также широко используется.
Если вы по какой-либо причине хотите разрешить сертификаты, выданные произвольными центрами сертификации, то такое простое сопоставление не может быть выполнено, как вы сами поняли. В этом случае может быть выполнено сопоставление между ключом публикации сертификата или отпечатком сертификата, что, конечно, требует, чтобы заранее было известно, какой именно сертификат следует ожидать для конкретного пользователя. И это сопоставление необходимо каким-то образом обновлять всякий раз, когда сертификат клиента должен быть изменен, поскольку срок его действия истек.
Ваш лучший выбор, вероятно: video4linux (V4L)
Это просто в использовании, и мощно.