Доброго всем времени суток.

Имеется десктопное GUI приложение и множество т.н. агентов (Win сервисов),
к которым гуй подключается по http протоколу и запускает удаленные вычисления.
Потребовалось обеспечить TLS1.2 compliance.
https приделать, вроде бы несложно (используем Poco, если это важно),
но что-то с сертификатами у нас не ладится.

Собственно, непонятно главное: с каким сертификатом должны запускаться агент и гуй?
Должны ли мы (разработчики) предоставлять какой-то сертификат (персональный или универсальный)
или сертификаты это забота пользователей?
Агентов в сети может быть много, устанавливаются они клиентами
(или их IT подразделениями) на любые машины, никаких ограничений на установку нет.
Работает всё преимущественно в локальной сети, но возможна установка и на амазоновских "облачных" машинах.

Во всех шпаргалках DV-сертификат требует указания FQDN. В больших компаниях оно
может быть и будет, а в мелких может не быть ничего, кроме локального ИП адреса 192.168.1.хх.
Т.е. получается, что выпустить один сертификат, пригодный сразу для всех агентов, не получится?

Обязать пользователей использовать самоподписанные сертификаты? Или можно как-то
упростить эту задачу?
Конечная цель — любая домохозяйка должна любой инженер без навыков сисадминства должен
иметь возможность установить приложение и начать его использовать.

Как эта проблема решается в мобильных интернет банках, например?
Вот есть клиентское приложение, оно обязано иметь сертификат, чтобы доказать серверу, что оно "настоящее"?
Или любое приложение может приконнектиться к веб АПИ?

В общем нужен совет.