个人网站中， HTTPS 客户端证书是否可以代替认证校验？

可以

感觉客户端证书认证体系配置起来挺麻烦的。
个人网站认证传 cookie 就好，反正别人又没办法截取。

可以，在亚马逊内部就是这么做验证的（当然亚马逊有自己的 ca ），client certificate 只有一个不好，就是你在用 caddy 之类的时候（我只试过 1.x ）反向代理很难配置正确

如果只是为了方便实现的话，可以在 openldap/saml 之类的 sso 上加 client certificate 验证，然后其他的网站调用 sso 在 cookie 里的结果

可以，有点麻烦

只要你自己不觉得烦，完全可以，而且安全性很高。

TLS 客户端认证的坏处是，常见的 WebServer 实现在进行 Client Auth 失败后会直接关闭连接。浏览器除了显示 Bad Client Auth 之外没法显示任何东西，包括 trouble shooting 指引。Server 日志除了一条 Client Auth Failed 之外也不能提供更多信息。

当然个人使用这些都是小问题。

@3dwelcome 网上一大堆直接用 openssl 或者 easyrsa 命令行搞确实比较劝退。
推荐下自用方案——XCA，图形化操作。

客户端证书（数字签名）是最高级别认证手段，同时也是易用性最低的。是否用主要看安全性和易用性怎么权衡。

可以，网银都用这玩意，安全性有保证

安全方面没啥问题，银行都这么用的
问题就是签发很麻烦