Atualmente estou lutando com algumas questões semelhantes (deixe-me salientar "lutando"!). Ainda não cheguei lá, mas pela minha extensa pesquisa, o seguinte parece promissor.
A opção ssl.verifyclient.username="SSL_CLIENT_S_ *" parece fornecer apenas informações sobre o assunto, ou seja, o usuário. A partir da versão 1.4.25, ssl.verifyclient.exportcert="enable" deve lhe dar acesso ao certificado completo que pode ser avaliado em 'env: SSL_CLIENT_CERT'.
Fonte: link (seção "Configuração").
Por favor, informe-se com sucesso ou relatório de falhas!