Сам себе и отвечаю. В переменную $access_denied заносятся 0 или 1 в зависимости от сравнения $ssl_client_s_dn с alice и bob. Если $ssl_client_s_dn не равна ни alice ни bob, то $access_denied будет 1 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277155,277156#msg-277156