Это больной вопрос, вход в систему по смарт-картам с сертификатами. Универсального и простого годного решения нету, даже платного. Везде страшные жуткие костыли которые или не осилить самому в разумное время, или работают они до ужаса криво.
В теории сухой и кратко - есть как известно 2 вида карт стандарта SC - те, где ключ (или набор неких данных, или файл сертификата) намертво зашит одноразово (банковские), и те, где его можно перезаписать руками по мере надобности.
И те и другие еще в добавок могут быть защищены пин-кодом, блокирующим карту в случае N попыток неверного ввода пин кода.
Там в общем то простая система авторизации, на картах хранятся открытые ключи, на контроллере домена закрытые, при входе по карте как раз и проходит проверка пар ключей. Причем проверяются конечно же не сами файлы сертов, а их хеши. По аналогии с ключами imsi в мобильных сим-картах.
Потому начинать надо с поиска подходящих перезаписываемых SC карт, где их вообще найти - если честно без понятия.
Ну и вся инфраструктура строится конечно же на создании в AD своего ЦС который и будет рулить выпуском пар сертов и связывать их с учетками конечными. А сам то механизм считывания данных с карты в виндах прост, никакого ПО дополнительного не надо, система уже в ядре имеет все что нужно, подключил картридер SC и винда уже сама предлагает, если комп в домене, входить по смарт карте.