Hay un protocolo que se llama OCSP que sirve para interrogar a las CA's sobre si un certificado esta o no validado. Poco puedo ayudarte en temas de programación porque no me dedico a eso. En mi caso, la lista de CA's autorizadas para validar el origen de las peticiones se hace a través de un proxy inverso que se llama WebSeal (IBM).

Yo recuerdo que en su momento, en un servidor IIS se podia proteger el acceso a carpetas diciendo que determinado campo de un certificado tenga un valor concreto o contenga una cadena de caracteres específica. De ahi a poder tratar eso via Visual, Deplhi, C++ etc es algo que desconozco.

Por lo demás coincido plenamente con lo que dice Miguel J.

Saludos
Hooker