Un utente può avere un certificato o solo una macchina ha un certificato?

I certificati personali sono molto comuni in un'infrastruttura PKI. E direi che il più delle volte è memorizzato sul computer dell'utente / persona.

Naturalmente sarebbe preferibile avere il certificato e le chiavi private memorizzate su una smart card come menzionato in un'altra risposta, ma c'è un supporto limitato per le smart card, ad esempio negli smartphone.

• Un modo per farlo è avere chiavi e certificati univoci (con il stesso DN) su diversi dispositivi. Quindi puoi facilmente revocare un certificato se un dispositivo viene rubato. Il problema con questo approccio è ad esempio crittografia. Se c'era una e-mail crittografata con la chiave pubblica corrispondente a un certificato sul tuo smartphone, quella email non può da leggere sul tuo laptop e viceversa.
• Una via di mezzo sarebbe avere certificati diversi su ciascuno dispositivo ma con la stessa chiave privata, con questo approccio è possibile leggere ancora messaggi crittografati su tutte le unità. Ma se diventa un'unità compromesso hai bisogno di revocare tutti i certificati.
• E la soluzione più semplice è avere lo stesso certificato e le stesse chiavi distribuito a tutte le tue unità. Questo ha gli stessi svantaggi del opzione sopra.

Questi certificati e chiavi sono memorizzati in modo diverso a seconda del sistema operativo e dell'applicazione. MacOS li memorizza nel portachiavi per la maggior parte delle applicazioni. Firefox può memorizzarli nel proprio portachiavi, e così via.

Apparentemente l'utente ha un certificato memorizzato in una smart card o in un token di firma digitale.

Può connettere il token sulla macchina a cui accede e la chiave viene verificata sulla base del server di gestione delle chiavi centralizzato nella rete.