公開鍵証明書を使用すると、通信するシステムが秘密鍵情報を帯域外で共有する必要がなくなります。認証局 (CA) からの公開鍵証明書では、通常、外部機関とのネゴシエーションが必要となります。この証明書は非常に簡単に拡大できるため、通信するシステムを数多く保護できます。
公開鍵証明書はまた、接続されたハードウェア内で生成して格納できます。手順については、接続したハードウェアを検出するように IKEv1 を構成するを参照してください。
すべての証明書には、X.509 識別名 (DN) 形式の一意の名前があります。また、証明書には、電子メールアドレス、DNS 名、IP アドレスなどのサブジェクトの別名が 1 つまたは複数ある場合があります。IKEv1 構成内の証明書は、完全な DN またはサブジェクトの別名のいずれかによって識別できます。これらの別名の形式は tag=value で、値の形式はそのタグのタイプに対応します。たとえば、email タグの形式は name@ domain.suffix です。
次のタスクマップは、IKEv1 の公開鍵証明書の作成手順を一覧表示したものです。これらの手順には、接続されたハードウェア上で証明書を高速化および格納する方法が含まれます。
|
公開鍵証明書は Trusted Extensions システムの大域ゾーン内で管理されます。Trusted Extensions は証明書を管理および格納する方法を変更しません。