使用公钥证书配置 IKEv1

语言：

使用公钥证书，通信系统就无需在带外共享秘密的加密材料。证书颁发机构 (certificate authority, CA) 颁发的公共证书通常需要与外部组织进行协商。证书很容易扩展为保护大量通信系统。

公钥证书也可以生成和存储于所连接的硬件中。有关过程，请参见配置 IKEv1 查找连接的硬件。

所有证书都有一个采用 X.509 distinguished name, DN（标识名）格式的唯一名称。此外，证书可能有一个或多个主题备用名称，例如电子邮件地址、DNS 名称、IP 地址等。您可以按完整的 DN 或按某个主题备用名称在 IKEv1 配置中标识证书。这些备用名称采用 tag=value 格式，其中值的格式与其标记类型相对应。例如，email 标记的格式为 name@domain.suffix。

以下任务列表列出了为 IKEv1 创建公钥证书的过程。这些过程包括如何在连接的硬件上加速和存储证书。

表 10-1 使用公钥证书任务列表配置 IKEv1

任务	说明	参考
使用自签名公钥证书配置 IKEv1。	在每个系统上创建并放置密钥和两个证书：自签名证书及其密钥来自对等方系统的公钥证书	如何使用自签名公钥证书配置 IKEv1
通过证书颁发机构配置 IKEv1。	创建证书签名请求，然后在每个系统上放置 CA 颁发的证书。请参见在 IKE 中使用公钥证书。	如何使用 CA 签名的证书配置 IKEv1
在本地硬件中配置公钥证书。	涉及以下操作之一：在本地硬件中生成自签名证书，然后将公钥从远程系统添加到硬件。在本地硬件中生成证书签名请求，然后将来自 CA 的公钥证书添加到硬件。	如何在硬件中为 IKEv1 生成和存储公钥证书
更新来自 CA 的证书撤销列表 (certificate revocation list, CRL)。	从中心分发点访问 CRL。	如何在 IKEv1 中处理已撤销的证书

注 - 要在 Trusted Extensions 系统上为包和 IKE 协商贴上标签，请按照Trusted Extensions 配置和管理 中的配置有标签的 IPsec中的过程操作。

公钥证书在 Trusted Extensions 系统上的全局区域中管理。Trusted Extensions 不会更改管理和存储证书的方式。