这种认证方法使用 SSL 客户端证书执行认证。因此，它只适用于 SSL 连接。当使用这种认证方法时，服务器将要求客户端提供一个有效的、可信的证书。不会有密码提示将被发送到客户端。证书的cn（通用名）属性将与被请求的数据库用户名进行比较，并且如果匹配将允许登录。用户名映射可以被用来允许cn与数据库用户名不同。

下列被支持的配置选项用于 SSL 证书认证：

在一条指定证书认证的pg_hba.conf记录中，认证选项clientcert被假定为verify-ca或verify-full， 并且它不能被关掉，因为在这种方法中客户端证书是必需的。 cert方法增加到基本clientcert证书有效性测试是一个cn属性匹配数据库用户名的检查。