Attualmente sto studiando IKE e IPsec nel contesto delle applicazioni VPN e so che un certificato X.509 viene utilizzato per fornire la chiave pubblica del server al client (e viceversa in caso di autenticazione reciproca). Succede in IKE fase I.
Tuttavia, ho trovato riferimenti a un altro "tipo" di certificato X.509 in RFC2528. Specifica come le chiavi KEA (Key Exchange Agreement) devono essere archiviate nei certificati X.509 V3 (subjectPublicKeyInfo). Tuttavia, non ho potuto capire quando questo tipo di certificato è usato.
In effetti ho verificato che pfSense, il software che sto usando per configurare il server VPN, richiede un certificato PEM da inviare come certificato dell'entità finale al client VPN. Tuttavia, non richiede o menziona un certificato aggiuntivo per lo scambio di chiavi.
È costruito al volo o questo tipo di certificato non viene utilizzato in questo contesto?
Apprezzo qualsiasi chiarimento su questo argomento.
Grazie!