A autenticação do cliente é semelhante à autenticação do servidor,exceto que o servidor solicita um certificado do cliente para verificar
que o cliente é quem ele diz ser. O certificado deve ser um certificado X.509 e assinado por uma autoridade de certificado confiável pelo servidor. É possível
somente utilizar a autenticação de cliente quando um servidor solicitar um certificado de um cliente. Nem todos os servidores suportam autenticação de cliente.
Quando um servidor solicita um certificado, o cliente tem a opção de enviar um certificado ou tentar conectar-se sem ele. O servidor permitirá a conexão se o certificado de cliente for confiável.
Quando um cliente tenta se conectar sem um certificado, o servidor
pode conceder o acesso do cliente, mas a um nível mais baixo de segurança, conforme ilustrado
pela seguinte sequência de eventos:
- O cliente envia uma solicitação para uma sessão SSL para o servidor.
- O cliente recebe o certificado do servidor e verifica sua lista de CA's confiáveis. Uma vez que o certificado do servidor seja assinado por uma autoridade de certificado confiável, o cliente aceitará o certificado.
O servidor então solicitará ao cliente um certificado que identifique o cliente.
- O cliente responderá enviando um certificado ou tentando estabelecer uma sessão sem ele.
- Se o cliente enviar um certificado, o servidor verificará sua lista
ou certificados confiáveis. Se o cliente puder ser confiável, a sessão segura
será estabelecida. Se o cliente não enviar um certificado,
em geral o servidor finalizará a sessão.