Da mesma forma que os certificados de servidor identificam exclusivamente um servidor (ou domínio), os certificados de cliente identificam exclusivamente um cliente. E assim como os certificados do servidor devem ser assinados por alguém em quem o cliente confia, os certificados do cliente devem ser assinados por alguém em quem o servidor confia.
Normalmente, quando você configura um servidor para aceitar certificados de cliente, você especifica um certificado de assinatura que deve ser usado para assinar o certificado do cliente. Isso permite que o servidor saiba que o cliente está "autorizado", seja lá o que isso possa significar em seu contexto, já que presumivelmente você só assinará certificados para usuários "autorizados".
A permissão de certificados de cliente sem qualquer tipo de verificação é geralmente possível com a maioria dos servidores, mas acaba com o objetivo.