のところでサーバ側が許可する CA のリストとか送ってるのかどうかを
調べたのでメモ。
RFC2246 7.4.4. Certificate request に以下が記述されており、CA の
DN のリストを送信している模様。
struct { ClientCertificateType certificate_types<1..2^8-1>; DistinguishedName certificate_authorities<3..2^16-1>; } CertificateRequest; :(snip) certificate_authorities A list of the distinguished names of acceptable certificate authorities. These distinguished names may specify a desired distinguished name for a root CA or for a subordinate CA; thus, this message can be used both to describe known roots and a desired authorization space.
http://www.ietf.org/rfc/rfc2246.txt