I'm afraid they can monitor each other. Is that possible?
sim, é possível. Os clientes usam seu certificado para proteger a chave de sessão. Portanto, se os clientes compartilharem o mesmo certificado com a mesma chave privada, eles poderão interceptar e descriptografar a chave de sessão e, eventualmente, todos os dados criptografados.
In EAP-TLS, do clients encrypt their packets with their own certificates or other session keys or else?
os pacotes são criptografados por uma chave de sessão que é compartilhada entre o cliente e o servidor. Após os pares autenticarem-se com sucesso, é gerada uma chave de sessão. A chave de sessão gerada é criptografada pela chave pública de um par. Ou seja, quando o servidor criptografa algo com a chave pública do cliente, apenas o detentor da chave privada correspondente pode descriptografá-lo. No seu caso, todos os detentores de certificados poderão descriptografá-lo.
Como resultado, compartilhar o mesmo certificado e chave privada entre os clientes não é uma boa ideia.