Authentification de client SSL

L'authentification de client est identique à l'authentification de serveur, mais dans ce cas, le serveur demande un certificat au client afin de vérifier l'identité de ce dernier. Ce certificat doit être un certificatX.509 et doit être signé par une autorité de certification digne de confiance pour le serveur. Vous ne pouvez utiliser l'authentification de client que lorsqu'un serveur demande un certificat auprès d'un client. Tous les serveurs ne prennent pas en charge l'authentification de client.

Lorsqu'un serveur demande un certificat, le client peut envoyer le certificat ou tenter de se connecter sans ce certificat. Le serveur autorise la connexion si le certificat du client est digne de confiance. Lorsqu'un client tente de se connecter sans certificat, le serveur peut autoriser l'accès au client mais à un niveau de sécurité plus faible, comme l'illustre la séquence d'événements ci-après :
  1. Le client envoie une demande de session SSL au serveur.
  2. Le client reçoit le certificat du serveur et vérifie sa liste de certificats CA sécurisés. Le certificat du serveur est signé par une autorité de certification digne de confiance. Par conséquent, le client accepte le certificat. Ensuite, le serveur demande au client un certificat qui permette de l'identifier.
  3. Le client répond en envoyant un certificat ou en tentant d'établir une connexion sans certificat.
  4. Si le client envoie un certificat, le serveur vérifie sa liste de certificats sécurisés. Si le client est digne de confiance, la session sécurisée est établie. Si le client n'envoie pas de certificat, normalement le serveur met fin à la session.