Pour utiliser des certificats publics avec IKEv2, vous devez créer un keystore PKCS #11. Le keystore le plus fréquemment utilisé emploie pkcs11_softtoken, fourni par la Structure cryptographique d'Oracle Solaris.
Le keystore pkcs11_softtoken pour IKEv2 se trouve dans un répertoire dont le propriétaire est un utilisateur spécial, ikeuser. Le répertoire par défaut est /var/user/ikeuser. L'ID utilisateur ikeuser est fourni avec le système, mais vous devez créer le keystore. Lorsque vous créez le PIN, vous créez un keystore pour le keystore. Le service IKEv2 a besoin de ce PIN pour se connecter au keystore.
Le keystore pkcs11_softtoken contient les clés privées et publiques et les certificats publics utilisés par IKEv2. Ces clés et les certificats sont gérés à l'aide de la commande ikev2cert, qui est un wrapper pour la commande pktool. Le wrapper assure que toutes les clés et opérations de certificats sont appliquées au keystore pkcs11_softtoken appartenant à ikeuser.
Si vous n'avez pas ajouté le code PIN en tant que valeur de propriété du service ikev2, le message suivant s'affiche dans le fichier /var/log/ikev2/in.ikev2d.log :
date: (n) No PKCS#11 token "pin" property defined for the smf(5) service: ike:ikev2
Si vous n'utilisez pas les certificats de clés publiques, vous pouvez ignorer ce message.