SSLVerifyDepth  5

# Проверка сертификата клиента. Для начала необходимо, чтобы сертификат клиента был подписан одним из CA-сертификатов,

# тогда сервер может быть уверен, что сертификат клиента является действительным, кроме этого, полученный сертификат

# не должен находиться в списке недействительных (crl) сертификатов. Синтаксис данной команды с первого взгляда может показаться

# несколько сложным, но он использует регулярные выражения, подобные перловским, и логические операторы (and, or, !).

# В качестве переменных могут использоваться как стандартные переменные, вроде REMOTE_ADDR, TIME, так и переменные

# ssl. Среди последних наиболее полезны следующие: SSL_CIPHER, SSL_CLIENT_S_DN_(параметры DN клиента, вроде O, OU, С и.т.д.),

# SSL_CLIENT_I_DN_(параметры DN поставщика сертификата).

SSLRequire  %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ and %{SSL_CLIENT_S_DN_O} eq "organization" and %{SSL_CLIENT_S_DN_OU} in {"Sysopka", "CA", "BigBosses"}

</Location>

# Определяем опции ssl (они могут быть переопределены в 

# <Directory>):

#   FakeBasicAuth:

#   Данная опция говорит апачу, что можно использовать аутентификацию на основе сертификата, но настройки

#   фильтрации сертификата лежат в файле .htpasswd, который выглядит примерно следующим образом:

#/C=RU/L=city/O=organization/OU=sysopka

    CN=admin:xxj31ZMTZzkVA

#/C=RU/L=city/O=organization/OU=bosses/

    CN=my_boss:xxj31ZMTZzkVA

#/C=US/L=New York/O=Microsoft/OU=head/

    CN=Billy:xxj31ZMTZzkVA

#   Где символы "xxj31ZMTZzkVA" – это des-вариант слова password (необходимое условие), на некоторых системах

#   нужно здесь поставить md5-хеш этого слова

#$1$OXLyS...$Owx8s2/m9/gfkcRVXzgoE/.

#   ExportCertData: