Hola a todos,
Me parece que os estais complicando mucho la vida, todo esto lo hace el IIS solo.
Un certificado exportado en formato .cer no tiene la clave privada, por lo que no implica que ese usuario sea quien dice ser.
Si instalais un certificado de servidor y, en el IIS, marcas "Requerir certificado de cliente", el IIS le pedirá certificado y al usuario le saldrá la ventana de seleccion de certificado. Una vez dentro puedes acceder a toda la información del certificado mediante la variable de sesión Request.ClientCertificate es mas, si exportas a un archivo toda la variable en binario Request.ClientCertificate("Certificate") lo que te da es precisamente un .cer que por supuesto no tiene la privada. Despues, una vez optenido el campo del nombre (CN) o el email (E), solo teneis que hacer una consulta a bbdd para ver que permisos tiene ese usuario.
Un saludo
Enrique