Certyfikaty klientów są zaszyfrowanymi identyfikatorami cyfrowymi, które zawierają informacje osobiste. Podobnie jak konwencjonalne formy identyfikacji, certyfikaty klientów umożliwiają serwerom sieci Web uwierzytelnienie, lub potwierdzenie, tożsamości użytkownika, przed zezwoleniem mu na zalogowanie się do witryny sieci Web o ograniczonym dostępie.
Certyfikat klienta można otrzymać od cieszącej się powszechnym zaufaniem, komercyjnej organizacji nazywanej urzędem certyfikacji. Przed wydaniem certyfikatu urząd certyfikacji prosi o podanie informacji identyfikujących, takich jak nazwisko, adres i nazwa organizacji. Zakres tych informacji może się zmieniać w zależności od wymaganej szczegółowości certyfikatu. Jeśli certyfikat ma dawać całkowitą pewność co do tożsamości, urząd certyfikacji poprosi o podanie bardziej szczegółowych danych; zebranie tych informacji może wymagać przeprowadzenia wywiadu z petentem i poświadczenia notarialnego.
Listę urzędów certyfikacji można znaleźć w temacie Otrzymywanie certyfikatu serwera.
Podstawowy certyfikat klienta będący standardem przemysłowym zawiera kilka elementów: tożsamość użytkownika, tożsamość urzędu certyfikacji, plik klucza używany do ustanowienia bezpiecznej komunikacji oraz informacje potwierdzające poprawność, takie jak data wygaśnięcia i numer seryjny. Urzędy certyfikacji oferują różne typy certyfikatów klienta zawierających różne ilości danych, w zależności od wymaganego poziomu identyfikacji. Na przykład, o ile podstawowy certyfikat klienta zawierałby nazwisko, adres i numer telefonu, certyfikat o wyższym poziomie identyfikacji mógłby zawierać informacje dodatkowe, takie jak miejsce zatrudnienia, przebieg pracy zawodowej lub dane o karcie kredytowej.
Większość urzędów certyfikacji prowadzi listę cofniętych certyfikatów (CRL), tzn. aktualnych certyfikatów klientów, które zostały cofnięte przed datą ich wygaśnięcia . Na przykład, jeśli urząd certyfikacji wyda użytkownikowi certyfikat klienta, a następnie stwierdzi, że użytkownik podał fałszywe dane, urząd może cofnąć certyfikat klienta. Ponieważ jednak urząd certyfikacji nie ma możliwości fizycznego cofnięcia certyfikatu klienta, urząd ostrzega administratorów sieci Web dodając informacje o cofniętym certyfikacie klienta do CRL.
W systemie operacyjnym Windows NT używana jest architektura zabezpieczeń, Microsoft CryptoAPI 2.0, która umożliwia sprawdzenie, czy dany certyfikat klienta nie został cofnięty, za pośrednictwem specjalnych dostawców usług sprawdzających listy CRL. Aby uzyskać więcej informacji o dostawcach tego typu usług, należy skontaktować się ze swoim urzędem certyfikacji.
Ostatecznie, to czy proces uwierzytelnienia certyfikatu klienta zakończy się powodzeniem zależy od tego, czy administrator serwera otrzymującego certyfikat klienta ufa urzędowi, który wydał certyfikat, oraz czy urząd certyfikacji zweryfikował tożsamość klienta. Jednak pomijając to zaufanie, certyfikat klienta nie dowodzi tożsamości użytkownika i nie zapewnia, że jest on godny zaufania i ma dobre intencje.
Więcej informacji można znaleźć w temacie Otrzymywanie certyfikatu klienta.