API клиентских сертификатов в nginx

Есть ли в nginx какой-то API, при помощи которого можно управлять (добавлять, удалять) клиентскими сертификатами извне, вместо ручной правки соответствующего файла?

Что значит «добавлять, удалять»? Клиентские сертификаты как бы не ограничены в количестве, главное, чтоб правильным CA были подписаны.

Клиентские сертификаты в сервере не хранятся. На то они и сертификаты. Их подписывает CA, а сервер доверяет подписи этого CA. Т.е. серверу надо знать только CA сертификат, и проверять всех предъявивших свои клиентские сертификаты на корректность подписи.

Подписывает CA и на сервере не хранятся… а где тогда они хранятся?

На сервере лежит сертификат CA. Приватным ключем этого сертификата подписываются клиентские сертификаты в центре сертификации (в каталоге с нужными скриптами, в подворотне, в общем, где-то там). Потом клиент приходит на сайт, предъявляет подписанный сертификат по просьбе сервера, сервер проверяет подпись при помощи публичного ключа из сертификата CA, и принимает решение на основе данных в сертификате. Например, считает поле CN= сертификата логином клиента на сайт.

Изначально сервер ничего не знает о существовании никаких клиентских сертфикатов. Так же, например, как и тур-агенство не подозревает о существовании паспорта у пришедшего клиента. Ключевое слово «предъявить».

Как, при такой схеме, удалить одного пользователя (из нескольких), уже имеющего подписанный сертификат?

CRL - Certificate Revocation List.

Если у вас могут приходить клиенты с любым именем в сертификате - то через отзыв сертификата в CRL. Если сертификат использутеся только как способ аутентификации, а не авторизации - просто закрыть доступ этому пользователю.

на клиенте, очевидно же

Забанить по содержимому поля CN, по публичному ключу, по айпи.

Ещё OCSP, начиная с nginx 1.19.0.