Выяснилось, что ВНЕЗАПНО, *censored*, Микрософт сменил как работает механизм аутентификации клиентского сертификата в сервере 2012.
Если клиентский сертификат на смарт карте выдан напрямую от коренной CA, которой сервер доверяет -- всё хорошо, прекрасная маркиза. А вот если клиентский сертификат подцеплен к коренной СА через промежуточную СА -- то, *censored*, надо лезть в реестр, и менять положение ключа ClientAuthTrustMode в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel на DWORD 2. Иначе сервант тебя будет посылать с 403.16 -- не доверяю я тебе. Ибо серт выдан "неизвестно кем".
https://technet.microsoft.com/en-us/library/Hh831771.aspx
*censored*, это же серьёзный функционал! Ну по кой хер Микрософт вот так вот ВНЕЗАПНО меняет как такие серьёзные вещи работают? Хрен с ней, с кнопкой "Пуск" -- я переживу. Но аутентификацию пользователей-то по кой корёжить?