Forward d'un certificat client sans HTTPS

[Le Marlou]

Bonjour

J'ai un serveur web Apache Web Server v2.2.14 en frontal d'un serveur Tomcat v5.5. Le connecteur utilisé entre les serveurs est mod_jk v1.2.28.
On a donc le serveur Tomcat derrière le serveur Apache, lui-même derrière un IPS (Intrusion Prevention System). L'IPS est dans une DMZ, et le HTTPS/SSL n'est activé que dans cette zone. Donc il n'y a pas de HTTPS/SSL ni sur Apache, ni sur Tomcat.
Les users de mon application doivent s'authentifier avec un certificat X509, qui est sur un perif USB. L'authentification mutuelle SSL est faite par l'IPS, après ça, tout est en HTTP.
Ce que je voudrais, c'est récupérer le certificat de l'utilisateur sur Tomcat, pour effectuer des contrôles métier.
La seule chose que je sais, c'est que, après l'authentification mutuelle SSL, l'IPS place le certificat client dans l'entête HTTP avec la valeur "X-SSL_CLIENT_CERT".
Mes questions sont donc :
1/ Apache est-il capable de forwarder le certificat client vers Tomcat, même s'il n'y a pas de HTTPS ? (peut-être en utilisant JkEnvVar ?, ou même sans rien faire, il retransmet les entêtes HTTP tels quels ?)
2/ La valeur "X-SSL_CLIENT_CERT" pour stocker le certificat dans l'entête est-elle standard ? Y'a-t-il une différence avec "SSL_CLIENT_CERT" ? Si ce n'est pas standard, je peux demander à ce que ce soit changé.
3/ Idéalement, y'a-t-il un moyen pour que Apache transmette à Tomcat le certificat client sous forme de tableau X509Certificate[] en tant que request attribute "javax.servlet.request.X509Certificate" ? (car j'utilise Spring Security dans mon appli, et l'authent X509 avec Spring Security recherche le certificat en faisant request.getAttribute("javax.servlet.request.X509Certificate"))

PS : J'aurais bien fait des tests moi-même mais malheureusement, je dois rédiger des specs assez rapidement en me basant uniquement sur la théorie, car je n'ai pas sous la main le matos nécessaire pour tester que ce que j'écris est valable...

Merci d'avance

Le marlou