メインコンテンツまでスキップ

2.1. PKI Mutual-TLS Method

2.1 PKI Mutual-TLS Method

PKI (public key infrastructure) 方式の mutual-TLS OAuth クライアント認証は, X.509 証明書の従来の認証利用に従う. 検証済み証明書チェーン [RFC5280] と単一の subject distinguished name (DN) または単一の subject alternative name (SAN) に依存してクライアントを認証する. 各クライアントには任意の型で主題名の値は 1 つのみ用いる. TLS ハンドシェイクは証明書内公開鍵に対応する秘密鍵の保有と証明書チェーンの検証に用いられる. 証明書の主題情報が当該クライアントに設定または登録された単一の期待主題と一致すればクライアント認証は成功する (証明書の主題 DN とクライアント登録 DN を比較する際には [RFC4517] の distinguishedNameMatch ルールなど, DN 値の予測可能な扱いが必要). PKI 方式では失効確認が可能だが, 証明書の失効状態を確認するかどうかおよび方法は deployment の判断で authorization server の裁量とする. クライアントは信頼できる certificate authority (CA) から同一主題の新しい証明書を得ることで X.509 証明書をローテーションでき, authorization server 側の認証データを変更する必要はない.

最終更新