2.2. Self-Signed Certificate Mutual-TLS Method (Selbstsigniertes Zertifikat)

2.2 Self-Signed Certificate Mutual-TLS Method (Selbstsigniertes Zertifikat)

Diese Mutual-TLS-OAuth-Client-Authentifizierungsmethode unterstützt die Authentifizierung mit selbstsignierten Zertifikaten. Voraussetzung ist, dass der Client seine X.509-Zertifikate (mit jwks aus [RFC7591]) oder einen Verweis auf eine vertrauenswürdige Quelle (jwks_uri aus [RFC7591]) beim Authorization Server registriert. Bei der Authentifizierung prüft TLS den Besitz des privaten Schlüssels zum im jeweiligen TLS-Handshake vorgelegten öffentlichen Schlüssel. Im Gegensatz zur PKI-Methode validiert der Server hier die Client-Zertifikatskette nicht. Die Authentifizierung gelingt, wenn das vorgelegte Zertifikat einem für diesen Client konfigurierten oder registrierten Zertifikat entspricht. Die Methode erlaubt Mutual-TLS-Authentifizierung ohne PKI-Betrieb. Zusammen mit jwks_uri kann der Client X.509-Zertifikate rotieren, ohne Authentisierungsdaten direkt beim Authorization Server zu ändern.