Обратный прокси от NGINX до Keycloak с 2FA

У меня проблема с NGINX. Кроме того, я предоставлю вам файл конфигурации и изображение схемы архитектуры ( https://ibb.co/niZCRx).

Я хочу получить доступ к Keycloak через nginx и войти в него. Я использую его в качестве Identity Management, где у меня есть логин с именем пользователя и паролем и сертификат, где я проверяю сертификат, то есть 2FA. Моя проблема в том, что когда я захожу в браузер через NGINX, я не получаю всплывающее окно для отправки своего пользовательского сертификата, но затем перехожу ко второму шагу для ввода имени пользователя и пароля, но после этого Keycloak сообщает мне, что я пропустил сертификат,

Что-то, над чем я пробовал и работал, это если я добавлю эти вещи в файл конфигурации, proxy_ssl_certificate и proxy_ssl_certificate_key передадут его, но только для одного пользователя. Пример, если proxy_ssl_certificate и proxy_ssl_certificate_key являются сертификатом и ключом от пользователя joncheski и входа в Keycloak с пользователем joncheski, пройдет успешно. Но если я захочу войти с другим пользователем, он не пройдет, потому что сертификат и имя пользователя не равны. Мне нужна ваша помощь. Как настроить это для большего количества пользователей, чтобы работать.

nginx.conf:

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

events {
    worker_connections 1024; 
}


http {


log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';

access_log  /var/log/nginx/access.log  main;

sendfile            on;
tcp_nopush          on;
tcp_nodelay         on;
keepalive_timeout   65;
types_hash_max_size 2048;

server {

listen       443 ssl;
server_name  #SET NAME OF SERVER#;

#HTTPS-and-mTLS
proxy_ssl_verify        on;
proxy_ssl_verify_depth  2;
proxy_ssl_session_reuse on;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
proxy_ssl_trusted_certificate #PATH OF PUBLIC CA CERTIFICATE#;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_certificate #PATH OF PUBLIC CERTIFICATE FROM SDP GATEWAY#;
ssl_certificate_key #PATH OF PRIVATE KEY FROM SDP GATEWAY#;
ssl_trusted_certificate #PATH OF PUBLIC CA CERTIFICATE#;
ssl_client_certificate #PATH OF PUBLIC CA CERTIFICATE#;
ssl_verify_client off;
ssl_session_tickets on;
ssl_session_cache   shared:SSL:40m;
ssl_session_timeout 4h;


location '/auth' {
        proxy_pass #SET HOST TO IDENTITY MANAGEMENT#;
        proxy_set_header X-Real-IP $remote_addr;              proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_http_version 1.1;

}

    location '/' {
        proxy_pass #SET HOST TO REDIRECT GUI REQUEST#;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;

}

}}

С наилучшими пожеланиями, Гоце Йончески