Une infrastructure de clés publiques (PKI) est un système qui facilite les communications sécurisées en utilisant des certificats numériques. Reflection prend en charge l'infrastructure de clés publiques pour l'authentification hôte et client.
Comme dans le cas de l'authentification par clé publique, l'authentification par certificat utilise des paires clé publique/clé privée pour vérifier l'identité de l'hôte. En revanche, dans le cas de l'authentification par certificat, les clés publiques sont intégrées aux certificats numériques Partie intégrante d'une infrastructure de clés publiques. Les certificats numériques (également appelés certificats X.509) sont émis par une autorité de certification, qui veille à la validité des informations précisées sur le certificat. Chaque certificat contient des informations d’identification relatives à son propriétaire, une copie de la clé publique de son propriétaire (utilisée pour le chiffrement et le déchiffrement des messages et des signatures numériques), ainsi qu’une signature numérique (générée par l’autorité de certification à partir du contenu du certificat). La signature numérique permet à un destinataire de vérifier la fiabilité du certificat en s’assurant qu’il n’a pas été falsifié. et deux paires de clés sont utilisées. Par exemple, pour l'authentification hôte, le serveur détient une clé privée et l'autorité de certification une deuxième. L'hôte obtient un certificat auprès de l'autorité de certification. Ce certificat contient des informations d'identification sur l'hôte, une copie de la clé publique hôte et une Signature numérique Utilisée pour confirmer l'authenticité et l'intégrité d'un message transmis. L'expéditeur détient la clé privée d'une paire de clés et le destinataire, la clé publique. Pour créer la signature, l'expéditeur calcule un hachage à partir du message, puis il chiffre cette valeur à l'aide de sa clé privée. Le destinataire déchiffre la signature à l'aide de la clé publique de l'expéditeur et calcule indépendamment le hachage du message reçu. Si la valeur déchiffrée et la valeur calculée concordent, le destinataire considère que l'expéditeur détient la clé privée et que le message n'a subi aucune altération pendant le transit. créée à l'aide de la clé privée de l'autorité de certification. Il est envoyé au client pendant le processus d'authentification. Pour vérifier l'intégrité des informations provenant de l'hôte, le client doit avoir une copie de la clé publique de l'autorité de certification, contenue dans le certificat racine de l'autorité de certification. Il est inutile que le client possède une copie de la clé publique hôte.
L'authentification par certificat permet de résoudre certains problèmes de l'authentification par clé publique. Par exemple, pour l'authentification par clé publique hôte, l'administrateur système doit soit distribuer les clés hôte pour chaque serveur à la liste d'hôtes connus de chaque client, soit compter sur les utilisateurs pour qu'ils confirment correctement l'identité de l'hôte lorsqu'ils se connectent à un hôte inconnu. Avec l'authentification hôte par certificat, un seul certificat racine de l'autorité de certification peut permettre l'authentification de plusieurs hôtes. En règle générale, le certificat requis est déjà disponible dans la liste de certificats de Windows.
De même, lors de l'authentification client par clé publique, chaque clé publique client doit être téléchargée vers le serveur qui doit être configuré pour reconnaître cette clé. Avec l'authentification par certificat, un seul certificat racine de l'autorité de certification peut permettre l'authentification de plusieurs clients.