El problema que tendrías es el de la suplantación, ya que existirían dos personas con cada clave privada, el usuario y el administrador del server, por lo que el repudio de las firmas estaría servido en bandeja, piensa que quieres tener los certificados instalados en el server para firmar por ellos. Además sería necesario instalar todos los certificados en el server (esto solo es posible si la Autoridad certificadora marca las claves como exportables, pfx) y protegerlo.
Para la identificación del usuario no es necesario implementar nada, solo decirle al IIS que exija certificados para entrar en ciertas web.
Como ya te comenté con php solo, no podrás hacer lo de firmar XML, por lo menos yo no se, yo la firma de XML la he hecho en VBasic instalando en local para que el usuario firme sus archivos y accediendo al server para el timestamp y subir las firmas.

Un saludo
Enrique