Despues de leer bastante informacion creo que lo he "conseguido" por lo menos a medias.

La dinamica es la siguiente:

-Configurar Apache para que funcione bajo SSL.
-Si no se dispone de certificado SSL reconocido crear uno autofirmado.
-Configurar en apache las entidades Certificadoras soportadas (la nuestra propia, la de la FNMT, la de la policia) descargando sus certificados raiz de sus webs.
-Instalar certificado cliente en navegador.
-Cuando se accede a la web "securizada" el navegador te solicita que selecciones un certificado de los instalados. Este debe estar reconocido por nuestro apache en la lista de entidades soportadas.
-Al seleccionar se envia a apache una copia del certificado y este lo transforma a variables globales de servidor, las cuales pueden ser accedidas mediante PHP.

Me queda por ver como validar cada uno de los certificados ya que por ejemplo la FNMT cobra por validarlos y hay que atacarles mediante OCSP responder a su LDAP.
Por lo menos la info del certificado(DNI,nombre,fecha caducidad..) ya la tenemos accesible para lo que necesitemos y todo legal porque a mi entender es el usuario quien decide entregarte la información para autenticar.

En esta web teneis la info sobre como configurar apache para tal menester y en esta la info sobre como tratar la informacion.

Espero que esto le sirva a alguien. ;)