2.1. PKI Mutual-TLS Method (PKI-Mutual-TLS-Methode)

2.1 PKI Mutual-TLS Method (PKI-Mutual-TLS-Methode)

Die PKI-Methode (Public Key Infrastructure) der Mutual-TLS-OAuth-Client-Authentifizierung folgt der traditionellen Nutzung von X.509-Zertifikaten. Sie stützt sich auf eine validierte Zertifikatskette [RFC5280] und einen einzigen Subject Distinguished Name (DN) oder einen einzigen Subject Alternative Name (SAN) zur Client-Authentifizierung. Pro Client wird nur ein Subjektwert je Typ verwendet. Der TLS-Handshake dient dazu, den Besitz des privaten Schlüssels zum öffentlichen Schlüssel im Zertifikat und die Zertifikatskette zu prüfen. Die Authentifizierung gelingt, wenn die Subjektinformationen im Zertifikat mit dem einen erwarteten Subjekt übereinstimmen, das für diesen Client konfiguriert oder registriert ist (beim Vergleich des Subject-DN mit dem registrierten DN ist eine vorhersagbare DN-Behandlung nötig, z. B. die distinguishedNameMatch-Regel aus [RFC4517]). Eine Sperrprüfung ist mit der PKI-Methode möglich; ob und wie die Sperrung geprüft wird, liegt im Ermessen des Authorization Servers im Deployment. Clients können X.509-Zertifikate rotieren, ohne Authentisierungsdaten beim Authorization Server zu ändern, indem sie von einer vertrauenswürdigen Certificate Authority (CA) ein neues Zertifikat mit gleichem Subject beziehen.