クライアント認証はサーバー認証と似ていますが、Telnet サーバーは、クライアントからの証明書を要求し、そのクライアントが要求されたものであるかを確認するという点が異なります。証明書は、X.509 証明書でなければならず、サーバーによって承認された認証局 (CA) によって署名されなければなりません。クライアント認証を使用できるのは、サーバーがクライアントからの証明書を要求する場合だけです。Z and I Emulator for Web リダイレクターほか、すべてのサーバーがクライアント認証をサポートするわけではありません。IBM Communications Servers (CS/NT、CS/AIX、など) の後継バージョンは、 すべてクライアント認証をサポートします。
サーバーが証明書を要求する時には、クライアントは、オプションで証明書を送信するか、証明書なしに接続を選択することができます。サーバーは、クライアントの証明書が信頼できる場合、接続を許可します。クライアントが証明書なしに接続を試みても、サーバーはクライアント・アクセスを可能にする場合がありますが、セキュリティー・レベルは下がります。
クライアントが SSL セッションの要求をサーバーに送ります。 | |
クライアントはサーバーの証明書を受信し、それを信任 CA のリストに対照して検査します。サーバーの 証明書は信任 CA によって署名されていますから、クライアントはこの証明書を受け入れます。サーバーは クライアントに、クライアントを識別する証明書を要求します。 | |
クライアントは、証明書を送信するか、証明書なしでセッションを確立しようとします。 | |
クライアントが証明書を送信する場合、サーバーが信任証明書のリストをチェックします。クライアントが 信頼できれば、セキュア・セッションが確立されます。クライアントが証明書を送信しない場合、 サーバーがセキュリティーのより低いレベルでセキュア接続を確立します。 |
クライアント認証を構成するには、次のようにします。
証明書が期限切れになった時には、その証明書に対して CA によって指定された更新手順に従ってください。