Я создаю несколько спокойных веб-сервисов и использую Spring-Boot для создания встроенного контейнера Tomcat.

Одним из требований является то, что это реализует двухсторонний SSL. Я смотрел на объект HttpSecurity и могу заставить его запускать веб-сервисы только через канал SSL, используя это: -

@Override
protected void configure(HttpSecurity http) throws Exception {

    System.out.println("CONFIGURED");

    http
        // ...
        .requiresChannel()
            .anyRequest().requiresSecure();
}

Похоже, я не могу найти способ сделать веб-сервис доступным только для приложений, предоставляющих действительный сертификат клиента.

У меня есть только базовые знания по SSL, так что даже общий указатель в правильном направлении будет оценен.

На сервере, на котором он развертывается, будет множество приложений - это единственное, которое необходимо заблокировать с помощью двухстороннего SSL. Что я действительно ищу, так это способ заблокировать одно приложение, чтобы принимать только клиентские сертификаты.