Die Clientauthentifizierung entspricht weitgehend der Serverauthentifizierung.
Allerdings fordert der Server ein Zertifikat vom Client an, um sicherzustellen, dass der
Client keine falsche Identität vorspiegelt. Das Zertifikat muss ein
X.509-Zertifikat sein, das von einer Zertifizierungsstelle
signiert ist, die vom Server anerkannt wird. Die Clientauthentifizierung kann nur verwendet werden, wenn ein Server
ein Zertifikat von einem Client anfordert. Nicht alle Server unterstützen die Clientauthentifizierung.
Wird von einem Server ein Zertifikat angefordert, kann der
Client entweder dieser Aufforderung nachkommen oder aber versuchen,
eine Verbindung ohne Übergabe eines Zertifikats herzustellen. Der Server lässt die Verbindung zu, wenn das Zertifikat des Clients zuverlässig ist.
Wenn ein Client versucht, ohne Zertifikat eine Verbindung herzustellen, kann der
Server dem Client möglicherweise Zugriff mit einer niedrigeren Zugriffsstufe gewähren, wie in
der folgenden Ereignissequenz dargestellt:
- Der Client sendet eine Anforderung für eine SSL-Sitzung an den Server.
- Der Client empfängt das Zertifikat des Servers und prüft die Liste
der sicheren Zertifizierungsstellen. Da das Zertifikat des Servers von einer anerkannten
Zertifizierungsstelle signiert ist, akzeptiert der Client das Zertifikat.
Anschließend fordert der Server beim Client ein Zertifikat an, das den Client identifiziert.
- Der Client sendet als Antwort ein Zertifikat, oder er versucht, ohne Zertifikat eine
Sitzung einzurichten.
- Wenn der Client ein Zertifikat sendet, prüft der Server die Liste der sicheren Zertifikate. Wenn der Client anerkannt ist, wird die sichere Sitzung eingerichtet. Wenn der Client kein Zertifikat
sendet, beendet der Server normalerweise die Sitzung.