Tengo una pregunta simple.
Es un navegador web que envía el certificado del cliente al servidor web a pedido (significa que el servidor web está configurado para la autenticación del cliente y exige el certificado del cliente) o simplemente envía todos los certificados que tiene el navegador web. Si un servidor web envía un certificado de cliente según la demanda del servidor, entonces un navegador web sabrá qué certificado de cliente tiene que enviar a un servidor web en particular.
Durante el protocolo de enlace SSL,
If the server requires a digital certificate for client authentication,
the server sends a "client certificate request" that includes a list of
the types of certificates supported and the Distinguished Names of
acceptable Certification Authorities (CAs).
(la cita es de a explicación razonablemente lúcida del protocolo SSL de IBM.)
El cliente luego compara los certificados en su tienda con esa lista para ver si tiene alguna firma firmada por las CA que figuran en el servidor. Si encuentra uno, lo enviará, generalmente después de preguntar al usuario si desea enviarlo. Presumiblemente, si hubiera varias coincidencias, le preguntaría al usuario qué enviar (si corresponde).
(Actualizando para responder el comentario a continuación con respecto a GAE):
Esta página parece ser un empleado de Google que dice que App Engine no lo hace. No es compatible con la autenticación del certificado de cliente. Ahora, está fechado en 2010, así que no lo tomaría como la última palabra, pero es un "no" que suena plano.
Esta pregunta está buscando lo mismo, y eso se redirigió a la persona para que examinara OAuth2 a través de Google Cloud Endpoints . Tal vez eso serviría a tus necesidades lo suficientemente bien?
Lea otras preguntas en las etiquetas web-browser tls certificates