Hallo Akela,

mein Apache ist so eingestellt, daß eine Anmeldung per Client-Zertfikaten (SSLVerifyClient) erfolgt. Das funktioniert soweit auch gut und ich kann per PHP auch die SSL_CLIENT_*-Variablen auslesen.

daraus mutmaße ich jetzt mal, dass die Konfiguration des Apachen SSLOptions +ExportCertData einschließt.

Wenn ich allerdings ohne ein gültiges Zertifikat ankomme, generiert der Apache eine Fehlermeldung (ssl_error_handshake_failure_alert).

Der Apache? Der Browser generiert solche Fehlermeldungen z. B.: Mozilla

Wie kann ich es anstellen, dem User eine Anzeige zu bieten, die ihn auf ein falsches Zertfikat hinweist?

Davon ausgehend, dass der Browser diese Meldung aufgrund der Abgewiesenen Verbindung zu einem Server generiert, muss das ganze wieder auf die Ebene des Webservers verlagert werden. Im Detail ist also wieder default SSLVerifyClient none zu verwenden. Durch SSLOptions +ExportCertData hast Du die Möglichkeit mittels PHP aus den $_SERVER-Variablen eine Überprüfung des Zertifikats zu machen. Je nach Prüfungsausgang hast Du dann die Möglichkeit, serverseitige Ausgaben zu erstellen.

Gruß aus Berlin!
eddi