Définitions

Un certificat permet d'assurer l'identité du propriétaire de la clef publique qu'il contient.
La première méthode consiste à établir une relation de confiance directe avec le détenteur de la clef publique (principe du protocole PGP)
La seconde méthode consiste à ce que tous les intervenants d'un échange fassent confiance en un tiers appelé Autorité de Certification (CA pour Certification Authority), qui se chargera de vérifier l'identité du propriétaire de la clef publique, de délivrer et de signer le certificat assurant la relation. L'autorité de certification aura en charge de préciser les méthodologies mises en place pour vérifier les identités des propriétaires des certificats, pour assurer la pérennité des informations dans le temps, etc.
Le format d'un certificat est défini par le standard X.509

Le but de la gestion par certificats est de rendre automatique la distribution des clés entre toutes les entités participant à une transaction donnée.
Lors de la phase d'authentification, IKE utilise les ``RSA signatures'' (certificat numérique au format X.509 authentifié par une signature RSA). Dans cette architecture tri-parties avec les 2 peers et l'autorité de certification (ayant délivré et signé les certificats), chaque peer reçoit un certificat émanant d'une autorité de certification. les deux machines signent leurs certificats avec leurs clefs privées et les cryptent avec leurs clefs publiques (elles mêmes ayant au préalable été signées par l'autorité de certification), puis l'envoie à l'autre peer.
L'identification de l'équipement distant va donc se faire au moyen du certificat reçu du serveur de certificat par l'équipement voulant réaliser l'identification.