Crie dois virtualhosts, diferindo apenas na porta usada.
Use o iptables para redirecionar condicionalmente o IP selecionado para a instância do TLS 1.0.
iptables -t nat -A PREROUTING -s CLIENT_OF_INTEREST -p tcp --dport 443 -j REDIRECT --to-port 344
Embora, devo acrescentar que fazer isso me deixaria um pouco tonto. Seria melhor, se possível, tornar o cliente capaz de fazer o TLS 1.2.
por exemplo. se seu Java, certifique-se de ter os bits de criptografia 'ilimitados' adicionados.
Mas eu entendo que isso nem sempre é possível.