IKE，使用公钥证书

使用公钥证书，通信系统就无需在带外共享秘密的加密材料。公钥使用 Diffie-Hellman protocol（Diffie-Hellman 协议）(DH) 来验证和协商密钥。公钥证书有两种类型。这些证书可以自签名，也可以由 certificate authority, CA（证书颁发机构）认证。

自签名的公钥证书由管理员创建。ikecert certlocal -ks 命令为系统创建公钥/私钥对的私钥部分。然后，从远程系统获取 X.509 格式的自签名证书输出。远程系统的证书是用于创建密钥对的公钥部分的 ikecert certdb 命令的输入。在通信系统上，自签名的证书驻留在 /etc/inet/ike/publickeys 目录中。使用 -T 选项时，证书驻留在连接的硬件上。

自签名的证书介于预先共享的密钥和 CA 中间。与预先共享的密钥不同，自签名的证书可以在移动机器或可能重新编号的系统上使用。要为没有固定编号的系统对证书自行签名，请使用 DNS (www.example.org) 或 email (root@domain.org) 替换名称。

公钥可以由 PKI 或 CA 组织提供。在 /etc/inet/ike/publickeys 目录中安装公钥及其相应的 CA。使用 -T 选项时，证书驻留在连接的硬件上。供应商还发布证书撤销列表 (certificate revocation list, CRL)。除安装密钥和 CA 以外，您还负责在 /etc/inet/ike/crls 目录中安装 CRL。

CA 的优势在于由外部组织而不是由站点管理员认证。在某种意义上，CA 是经过确认的证书。与自签名的证书一样，CA 可以在移动机器或可能重新编号的系统上使用。与自签名的证书不同的是，CA 可以非常容易地扩展以保护大量的通信系统。