クライアント証明書認証は主にサーバレベルでの設定が必要になるので、レンタルサーバなどでは難しいかと思います。
どうしてもクライアント証明書認証を使いたいのであれば、VPSサービスなどを契約して、自分でApacheやnginxなどのWebサーバを構築する必要があります。

また、「特定の端末からしかアクセスできない」ようにできるのであれば、必ずしもクライアント証明書には拘りません。

特定の端末からしかアクセスできないようにする方法ですか。。。
自分も昔そのようなことをやろうとしたことがあるのですが、完全な方法を見つけることは出来ませんでした。

タグにSSLがついていることからSSLを使っていると仮定しますが、端末に秘密の値が入ったCookieを設定してサーバ側でそのCookieの値を照合するなどを考えましたが、現状のやり方で、パスワードを入力した後にメールでワンタイムキーを送ってそれを認証させるということをやっているので、（Cookieはパスワードの代わりになっていると考えられるので）そのセキュリティが必須であれば難しいかもしれません。

また、Cookieを使う場合はsecure属性とhttponly属性をつけてJavaScriptから参照できないようにした方が（XSSなどの脆弱性があったときに秘密の値が漏れる危険を緩和できるので）いいかもしれません。

2）ログイン時にランダム文字列発行→ハッシュ化したものを「接続キー」としてデータベースとセッションに保存

3）システム内でアクションを起こす（ページ遷移）たびに接続キーを照合→違っていれば排除、合っていれば新たな接続キーを発行
4）ページ遷移が生じない場合でも20分に一度は待機画面をリロードして接続キーを更新

これに関してなのですが、接続キーをCookieでなくセッションに保存するのであれば、セッションのデータ自体はサーバ側に保存されて、クライアント側がCookieで送る「セッションID」という値に紐付くセッションのデータをサーバ側で自動的に読み込むようになっているので、接続キーを変えることは意味があまりないかと思います。どちらかというと、セッションIDをデータベースに保存したものと比較（session_id()関数で取得できます）、毎回のアクセスでsession_regenerate_id(true)を呼び出してセッションIDを更新、新しいセッションIDをデータベースに保存する処理をやったらいいかと思います。