Pareamento do cliente HTTPS

Preciso restringir o uso de um determinado site a um número limitado de clientes.

Mais do que isso, na verdade: eu gostaria de permitir o acesso de um número restrito de dispositivos físicos (Win + Android).

Isso significa que eu devo gerar certificados de "dispositivo bloqueado".

Qual é a melhor maneira de gerar e implantar esses certificados?

Observe que:

• A solução não deve ser específica do navegador (se possível, o IE, o FFox e o Chrome são mínimos).
• O navegador deve combinar certificado com alguma impressão digital de hardware antes de tentar usar.
• Eu não me importo se o certificado é invalidado pela atualização do sistema (estou perfeitamente OK emitindo um novo ... e excluindo o antigo).
• A verificação deve ser feita "no lado do servidor".

ATUALIZAÇÃO: Eu perguntei isso em Segurança. Eu acho que isso deve ser excluído.