Moin,

HTTPS funktioniert nur mit IPs, Virtuelle Hosts klappen damit nicht.

Das ist mir auch klar. Soweit ich sehen kann ging es aber um einen festen Server und mehrere (bzw. sogar ziemlich viele) Clients mit dynamischen IP-Addressen, denen der Zugriff möglichst so gewährt werden soll, dass sie ihre Authentifizierungsdaten nicht weiter geben können. Allerdings könnte meine Glaskugel hier auch überinterpretiert haben. Nur Markus könnte das klarstellen.

Und dynamische IP-Adressen sicherlich dann auch nicht, weil das Zertifikat auf die IP ausgestellt wird, wenn ich richtig informiert bin (was ich hier aber durchaus selbst anzweifeln möchte).

Ein Client-Zertifikat wird auf einen Client ausgestellt. Wer auch immer das Zertifikat und die gegebenenfalls dazugehörige Passphrase hat kann sich damit dem Server gegenüber authentifizieren.