Passa al contenuto principale

2.1. PKI Mutual-TLS Method (Metodo mutual-TLS PKI)

2.1. PKI Mutual-TLS Method (Metodo mutual-TLS PKI)

Il metodo PKI (public key infrastructure) di autenticazione client OAuth mutual-TLS segue il modo in cui i certificati X.509 sono tradizionalmente usati per l'autenticazione. Si basa su una catena di certificati convalidata [RFC5280] e su un singolo subject distinguished name (DN) o un singolo subject alternative name (SAN) per autenticare il client. Per ogni client viene utilizzato un solo valore di nome del soggetto di qualsiasi tipo. Il TLS handshake serve a convalidare il possesso da parte del client della chiave privata corrispondente alla chiave pubblica nel certificato e a convalidare la relativa catena di certificati. Il client è autenticato con successo se le informazioni sul soggetto nel certificato corrispondono al singolo soggetto atteso configurato o registrato per quel particolare client (si noti che è necessario un trattamento prevedibile dei valori DN, come la regola distinguishedNameMatch di [RFC4517], per confrontare il subject DN del certificato con il DN registrato del client). Il controllo della revoca è possibile con il metodo PKI, ma se e come verificare lo stato di revoca di un certificato è una decisione di deployment a discrezione dell'authorization server. I client possono ruotare i propri certificati X.509 senza dover modificare i rispettivi dati di autenticazione presso l'authorization server ottenendo un nuovo certificato con lo stesso soggetto da una certification authority (CA) attendibile.

Ultimo aggiornamento il