Что подходит, зависит от того, что вы делаете с информацией аутентификации, но в целом я бы предположил, что вы хотите использовать различающееся имя субъекта (DN), которое вы можете получить с помощью java.security.cert.X509Certificate.getSubjectX500Principalmethod.
Отпечаток пальца изменится, когда истечет срок действия сертификата, и пользователь продлит его, но, конечно, личность пользователя останется прежней.