Actualmente estoy estudiando IKE e IPsec en el contexto de aplicaciones VPN y sé que se utiliza un certificado X.509 para proporcionar la clave pública del servidor al cliente (y viceversa en caso de autenticación mutua). Sucede en la fase I de IKE.
Sin embargo, encontré referencias a otro "tipo" de certificado X.509 en RFC2528. Especifica cómo deben almacenarse las claves KEA (Acuerdo de intercambio de claves) en los certificados X.509 V3 (subjectPublicKeyInfo). Sin embargo, no pude entender cuándo se utiliza este tipo de certificado.
De hecho, verifiqué que pfSense, el software que estoy usando para configurar el servidor VPN, requiere que se envíe un certificado PEM como certificado de entidad final al cliente VPN. Sin embargo, no requiere ni menciona un certificado adicional para el intercambio de claves.
¿Se construye sobre la marcha o este tipo de certificado no se usa en este contexto?
Agradezco cualquier aclaración sobre este tema.
¡Gracias!