немножко об openssl, пока не забыл.
Секретный ключ(private key) бывает RSA,DSA. Его можно использовать для создания публичных ключей(public key), а также для подписи сертификатов и запросов на сертификацию. RSA ключ может использоваться для шифрования и для подписи, DSA ключ может использоваться только для подписи.
Сертификат: сущность содержащая в себе публичный ключ, подразумевается что гдето должен быть еще и секретный ключ. Кроме того может в себе содержать шифрованный секретный ключ.
CRL - недействительный сертификат.

Пока все.
ври на форуме нарыл... в свалку...
------------- cut
Т.наз. клиентский сертификат может быть выдан клиенту сервером по заказу клиента (т.е. браузера). Клиентский сертификат является как бы "парным" серверному сертификату; web сервер может быть сконфигурирован так, чтоб при установлении SSL сессии проверять или даже требовать от клиента выставить свой клиентский сертификат (при отсуствии которого связь может быть отказана, т.е. клиентский сертификат может считатьса фактором аутентикации).

Создание клиентского сертификата проходит по-разному в IE и в Mozilla; в обоих случаях генерируется private key и certificate signing request, который автоматически отсылается серверу; затем сервер "возвращает" сертификат и с помощью client-side scripting "запихивает" сертификат в браузер.

Если у вас Apache, посмотрите документацию mod_ssl, в частность, директивы
SSLVerifyClient и SSLVerifyDepth. Процесс генерирования клиентского ключа описан в документации самих браузеров; небольшой прмер вот здесь:
http://wiki.rcpt.to:8180/pkcs/ca.html
|------------------- cut

ПС: сумбурно..., но мне самому еще много не понятно...