authentification x509

Bonjour,
J'utilise actuellement l'authentification x509 pour GLPI qui est très pratique mais je pense un peu incomplète.

En effet il y aurait quelques paramètres qu'il faudrait remplir avant d'être connecté :

- gestion des CRL : chaque autorité de certification gère les liste de révocation grâce à des CRL. il faudrait pouvoir les interroger dans GLPI pour éviter qu'une personne qui n'a plus les droits puisse se connecter.

- filtres sur AC : à quelle autorité de certification on fait confiance

en fait ça correspond au champ OU, O et CN du certificat pour le client et l'autorité.
Je sais le faire dans apache mais je suis une quiche pour ce qui est de php. Je vous donne les exemple dans apache :

#  cat /etc/apache2/vhosts.d/00_default_ssl_vhost.conf

## Certificate Revocation Lists (CRL):
SSLCARevocationFile /etc/ssl/apache2/ca-bundle.crl

## filtres client
SSLRequire %{SSL_CLIENT_S_DN_OU} eq "TOTO"
## filtres autorité
SSLRequire %{SSL_CLIENT_I_DN_CN} in {"TITI","TUTU"}

Ça évitera de pouvoir se connecter à GLPI avec son certificat des impôts

Merci si quelqu'un arrive à faire ça...