2.2. Self-Signed Certificate Mutual-TLS Method

2.2 Self-Signed Certificate Mutual-TLS Method

本 mutual-TLS OAuth クライアント認証方式は自己署名証明書によるクライアント認証を支援する前提とする. 前提として, クライアントは [RFC7591] の jwks を用いて X.509 証明書を登録するか, jwks_uri を用いて信頼できるソースへの参照を authorization server に登録する. 認証時, TLS は当該 TLS ハンドシェイクで提示された証明書内の公開鍵に対応する秘密鍵の保有を検証するために用いられる. PKI 方式とは対照的に, この場合サーバはクライアントの証明書チェーンを検証しない. ハンドシェイクで提示した証明書が当該クライアントに設定または登録された証明書のいずれかと一致すれば認証は成功する. 自己署名証明書方式は PKI を維持せず mutual TLS でクライアントを認証できる. クライアントの jwks_uri と併用すれば, authorization server 側の認証データを直接変更せずに X.509 証明書をローテーションできる.