Долго объяснять, лучше почитать что-то по теме. Если по простому - сертификат пользователя (или клентский сертификат) отвечает за проверку пользователя, т.е. за то, что именно этот пользователь, а не какой то иной вошел на сервер. Сертификат сервера, подписанный закрытым ключом сервера отвечает за то, что именно этот сервер, а не какой то другой принял это подключение.