Nos amit megpróbáltam:
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/pma.us.to-cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/pma.us.to-nopasswd-key.pem
SSLCertificateChainFile /etc/apache2/ssl/cacert.pem
SSLProtocol all -SSLv2 -SSLv3
SSLCACertificatePath /etc/apache2/ssl/ca/hash/
SSLVerifyClient require
SSLVerifyDepth 3
SSLOptions +StdEnvVars +ExportCertData +StrictRequire
Az /etc/apache2/ssl/hash mappában jelenleg benne van a két CA (self signed, illetve az e-személyis govca is) pem-ben, a hash-es linkek létrehozva a c_rehash segítségével.
Apache restart után a helyzet változatlan, nem kéri az e-személyis certet, pedig win alatt a tanúsítvány kezelőben szépen látszódik.
szerk: a Főtanúsítvány kiadó (govca-root) is a mappában van, csak ez kimaradt...
szerk2: A saját CA-m is kell, mert az ezzel létrehozott certeket is el kell fogadni