如何将 Azure 应用程序网关配置为仅接受具有特定主题的客户端证书

我已在 Azure 应用程序网关上配置了相互身份验证。目前，中间 CA 颁发的所有客户端证书（如 SSL 配置文件中的配置）都被接受，但我只希望授予特定证书访问权限，最好基于客户端证书的主题。在我的情况下，对颁发客户端证书的 CA 进行更改是不可行的。

探索的选项：

1. 配置 SSL 配置文件时使用叶证书：应用程序网关似乎忽略叶证书；接受中间 CA 颁发的所有客户端证书。
2. 配置重写规则操作以将服务器变量（例如 client_certificate_subject）传递到自定义请求标头中的后端。这需要更改后端来解释请求标头，这是我试图避免的。
3. 配置重写规则条件来检查服务器变量（例如client_certificate_subject）并有条件地采取某些操作。理想情况下，操作应设置 HTTP 响应代码（不将请求转发到后端）或重写到应用程序网关生成的错误页面（例如 HTTP 401 未经授权/403 禁止）。这可以以某种方式完成吗？
4. WAF 规则似乎不是一个可行的选择，因为它们无法访问服务器变量

希望找到一种在应用网关上配置此需求的方法。谢谢。