Он ищет список центров сертификации, представленных сервером (в его сообщении TLS CertificateRequest), и должен предлагать суб-выбор ваших личных сертификатов, которые выдаются одним из этих CA (он также может совпадать с сертификатами для который есть путь к одному из этих CA через промежуточный CA, который он знает).