При смене пароля протухает закрытый ключ пользователя. Решается только перевыпуском сертификата. Под доменной учеткой со свежевыпущенным сертификатом должно работать без проблем (до смены пароля, опять же), имеется опыт работы более тысячи пользователей в таком виде. Чем выпускаете сертификат?
Пожалуйста.
Для авторизации доменных пользователей можно поднять роль CA (Certificate Authority) на MS Windows Server, получите прозрачную процедуру получения/продления/отзыва сертификатов и авторизации доменных пользователей.