Pues yo no hace mucho tiempo conteste a una pregunta igual que esta.

Hablo de IIS que es lo que he utilizado.

En IIS lo que se hace es proteger una carpeta a partir de la cual su acceso requiera de la presentación de un certificado digital. Se puede definir de que CA's admites certifiicados e incluso preguntar por algún valor en concreto del certificado.

Es el propio navegador quien se encarga de presentar la pantalla de selección de certificado cuando intenta acceder a un sitio protegido. Supongo que en apache, iplanet o tomcat será parecido.

Existen productos, generalmente orientados a banca, que hacen de firewalls de direcciónes o proxy inverso (normalmente webseal de IBM). Con este tipo de productos tambien se pueden proteger recursos en servidores web solicitando un certificado.

De todas formas, todo el manejo de certificados y cripotgrafía en general se maneja usando algo que se llama el CAPICOM. Este es el enlace de la knowledge base de MS que habla de capicom http://msdn2.microsoft.com/en-us/library/aa375732.aspx

Espero habar aclarado algo.

Un saludo
Hooker