X.509 証明書は、デジタル署名されたバイナリ文書です。証明書には、それが識別するもの (人物、コンピューター、または名前を付けることができるそれ以外のもの)、つまりサブジェクトに関する情報が含まれています。この情報としては、その名前、所在地、および公開暗号化キーがあります。この暗号化キーを使用して、サブジェクトに関するデータを暗号化したり、サブジェクトのデジタル署名を検証したりできます。証明書には、サブジェクトの信頼性を保証する発行者 (通常は証明機関 (CA)) が署名します。SSL トランザクション (クライアントまたはサーバー) の一方が証明書を送信すると、もう一方はその証明書を検証し、ユーザーを信頼するかどうかを判断できます。証明書が無効である場合、または受信者が発行者を信頼しない場合、対話は終了します。
SSL が HTTP (HTTPS) とともに使用される場合、通常はサーバーのみが証明書を送信します。クライアントは、証明書を信頼済み CA (信頼済みルートとも呼ばれます) のリストと照合してチェックし、接続先のサーバーと通信するかどうかを判断するためにその他のチェックを行います。これにより、攻撃者がサーバーを偽装することを防止できます。
また、クライアント プログラム (Web ブラウザーや、Web サービスを呼び出すアプリケーションなど) が自身を識別する証明書をサーバーに送信することもできます。この場合、ユーザーがユーザー名およびパスワードを送信したり、その他の方法で自身の ID を証明する必要なしに、セキュリティを強化できます。
CICS では、CWI サーバーの証明書によるユーザー サインオンをサポートしています。