É possível criar um certificado que não será instalado em uma máquina diferente da pretendida? (Usando alguma impressão digital de hardware incorporada no certificado?)
Ou, como alternativa, há uma maneira de detectar do lado de recebimento de uma conexão TLS que o certificado está vindo da máquina errada (além de apenas manter uma tabela de pesquisa de IPs)
O objetivo é autenticar usando o certificado e garantir que o certificado não tenha sido compartilhado ou distribuído.