Me han preguntado un par de veces como invocar Web Services que tienen certificados digitales desde aplicaciones web (y también desde aplicaciones Windows), así que aquí una nota de referencia rápida y algunos enlaces al respecto:
Existen muchas formas pero básicamente dos son rápidas y eficaces y dependen de la tecnología que se esté usando para invocar los servicios web. (Es decir como los está llamando), si está usando framework 2.0 lo mejor es usar Web Services Enhancements (WSE) 3.0 for Microsoft .NET, una serie de extensiones para Visual Studio que implementan mejoras significativas en seguridad, gestión de archivos como parte del mensaje, etc. Con WSE* puede usar muchas de las características más avanzadas de Web Services y hacen parte de los estándares avalados por OASIS y otras sugerencias de Microsoft, incluidos los certificados digitales, mas información de esta técnica aquí. Este complemento es gratuito, no hay que pagar nada por él y se puede descargar del sitio de Microsoft haciendo clic aquí.
Ahora si está usando el framework 3.0 puede utilizar Windows Communication Foundation (WCF) que trae incluido desde el core el soporte para esquemas de seguridad como el que menciona, Microsoft ha desarrollado una guía de mejores prácticas de seguridad para servicios de WCF. Y una guía muy completa de casos practicos (how-to) y escenarios que se puede descargar de forma gratuita haciendo clic aquí.
Juan Peláez
Developer Evangelist
Microsoft Colombia.