Durante el protocolo de enlace SSL,
If the server requires a digital certificate for client authentication,
the server sends a "client certificate request" that includes a list of
the types of certificates supported and the Distinguished Names of
acceptable Certification Authorities (CAs).
(la cita es de a explicación razonablemente lúcida del protocolo SSL de IBM.)
El cliente luego compara los certificados en su tienda con esa lista para ver si tiene alguna firma firmada por las CA que figuran en el servidor. Si encuentra uno, lo enviará, generalmente después de preguntar al usuario si desea enviarlo. Presumiblemente, si hubiera varias coincidencias, le preguntaría al usuario qué enviar (si corresponde).
(Actualizando para responder el comentario a continuación con respecto a GAE):
Esta página parece ser un empleado de Google que dice que App Engine no lo hace. No es compatible con la autenticación del certificado de cliente. Ahora, está fechado en 2010, así que no lo tomaría como la última palabra, pero es un "no" que suena plano.
Esta pregunta está buscando lo mismo, y eso se redirigió a la persona para que examinara OAuth2 a través de Google Cloud Endpoints . Tal vez eso serviría a tus necesidades lo suficientemente bien?