O truque aqui é que você precisa fazer isso no tomcat. Desde que isso é o que está realmente processando o pedido.
Como a autenticação do cliente é feita por conector, você precisará criar dois novos conectores. Um para o SSL base w / auth, e um para o conector mod_jk (portas escolhidas escolhidas arbitrariamente como cur + 1).
<!-- Client Auth Connector on port 8444 -->
<!--
<Connector port="8444"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS" />
-->
<!-- Client auth ajp connector on port 8010 -->
<Connector port="8010"
enableLookups="false" redirectPort="8444" debug="0"
protocol="AJP/1.3" />
Em seguida, basta configurar um trabalhador mod_jk secundário para se conectar à SSL de autenticação do cliente no apache para / myapp2