Der Witz an der Sache ist das der Browser dann nicht nachfragt, wenn man eine "geprüfte" https-Seite betritt.

Kein Witz, weil Der Browser prüft Zertifikat vorhanden oder nicht wenn eins da ist dann o.k. sonst nachfragen.
Kann man aber einstellen.

http://www.modssl.org/docs/2.8/ssl_howto.html#ToC7

Nur bin ich nicht sicher wie das genau funktioniert, wie bekommen nur ausgewählte Clients das Zertifikat?

Jetzt verstanden!
Du machst ein Client Zertifikat und schickst es z.Bsp per mail.
Die müßen dann dieses Zertifikat im Browser installieren.
Klick auf dass Schloss u.s.w.
Die Einstellungen im Apache verhindern, dass jeder Client das Zertifikat gesendet bekommt.

Hoffe es hilft Dir!?

TomIRL