Самоподписанный СА-сертификат и выданные им сертификаты проверки подлинности клиента, работает на уровне Apache, клиент без сертификата получит ошибку 401 и ничего не увидит. Клиентских сертификатов можно сделать сколько угодно, их так же можно отзывать через revocation list. Так же в Common Name сертификата можно указывать любые данные, идентифицирующие пользователя в системе, т.е. по сертификату можно выполнить и аутентификацию и авторизацию.