В сценарии прокси первый сервер будет согласовывать весь уровень SSL / TLS перед отправкой запроса на прокси-сервер.
После успешного согласования уровня SSL / TLS нет возможности ТОГДА выполнить проверку сертификата клиента, поскольку это происходит только на уровне SSL / TLS.
Короче говоря, как только ваш пользовательский агент (клиент / браузер) может начать делать запросы, тогда уже слишком поздно для проверки сертификата клиента .
Что касается доступа к javax.servlet.request.X509Certificate, который потребует от используемого вами прокси-сервера для включения соответствующих заголовков пересылки на второй сервер.
Если вторым сервером является Jetty, то этому серверу потребуется ForwardedRequestCustomerizer, чтобы вытащить заголовки пересылки из запроса, чтобы затем вставить их в атрибуты запроса.