IKEv2 で公開証明書を使用するには、PKCS #11 キーストアを作成する必要があります。もっとも一般的に使用されるキーストアは、Oracle Solaris の暗号化フレームワーク機能が提供する pkcs11_softtoken を使用します。
IKEv2 の pkcs11_softtoken キーストアは、特殊なユーザー ikeuser が所有するディレクトリにあります。デフォルトのディレクトリは /var/user/ikeuser です。ユーザー ID ikeuser はシステムに用意されていますが、キーストアは自分で作成する必要があります。キーストアを作成する場合は、キーストアの PIN を作成します。IKEv2 サービスがキーストアにログインするにはこの PIN が必要です。
pkcs11_softtoken キーストアは、IKEv2 で使用される非公開鍵、公開鍵、および公開証明書を保持しています。これらの鍵および証明書は、pktool コマンドのラッパーである ikev2cert コマンドで管理されます。このラッパーは、ikeuser が所有する pkcs11_softtoken キーストアにすべての鍵および証明書の操作が適用されるようにします。
PIN を ikev2 サービスのプロパティー値として追加していない場合は、/var/log/ikev2/in.ikev2d.log ファイルに次のメッセージが表示されます。
date: (n) No PKCS#11 token "pin" property defined for the smf(5) service: ike:ikev2
公開鍵証明書を使用していない場合は、このメッセージを無視してかまいません。