クライアント認証は、サーバー上のクライアント証明書を検査することによって、追加の検証およびアクセス制御を提供しています。 これで、クライアントがインストール時の承認済み証明書なしで接続することが禁止されます。
サーバーは、SSL ハンドシェークの間にクライアントの証明書を受信し、証明書が有効であることを確認することによって、クライアントを認証します。 サーバーのシステム SSL は、サーバー鍵データベース・ファイルに見つかったクライアント証明書発行者の公開鍵を使用して、署名を暗号化解除します。 次にサーバーは、証明書の Distinguish Name および公開鍵を使用して新しいメッセージ・ダイジェストを作成し、 そのメッセージ・ダイジェストと暗号化解除されたものを比較します。 それらが一致すると、サーバーはクライアントが認証されたものと認識します。
クライアント認証の可能なレベル:
レベル 1 認証はシステム SSL によって実行される。クライアントは、X.509 証明書をサーバーに渡します。 認証を渡すには、クライアント証明書に署名する認証局 (CA) が、 サーバーからトラステッドであると見なされる必要があります。 「クライアント証明書認証を使用可能にする」を選択すると、レベル 1 認証が提供されます。
レベル 2 認証はレベル 1 認証を提供し、 さらにクライアント証明書は RACF (または他の SAF 準拠のセキュリティー製品) で登録され、 ユーザー ID にマップされる必要がある。SSL ハンドシェーク中に受信されたクライアント証明書は、 接続ネゴシエーションを行う前に、セキュリティー製品を照会して証明書がシステムに認識されている ユーザー ID にマップすることを確認するために使用されます。 「セキュリティー・サーバーを使用してクライアント・ユーザー ID を検査」を選択すると、レベル 2 認証が提供されます。
レベル 3 認証は、レベル 1 認証とレベル 2 認証によるものです。 さらに、RACF から返された ユーザー ID に基づいてサーバーへのアクセスを制限する機能があります。 RACF の SERVAUTH クラスがアクティブで、サーバー・プロファイルが定義されている場合、 クライアント証明書に関連する要求者のユーザー ID がプロファイルにある場合にのみ、接続は受け入れられます。 「セキュリティー・サーバーを使用してクライアント・ユーザー ID を検査」を選択すると、RACF の SERVAUTH クラスが アクティブであれば、レベル 3 認証が提供されます。