$Id: memo-ike-cert.txt,v 1.3 2000/08/10 00:00:08 sakane Exp $

%Hd: IKEと証明書

2000/3/16 WIDE合宿でのBOFのメモ

何のために？
	IPsecの鍵を交換する相手の認証
	ユーザ/ホスト単位

IKEのどこに証明書を使っているのか？
	phase 1

	e.g. aggressive mode + signature method

	Initiator                          Responder
	-----------                        -----------
	HDR, SA, KE, Ni, IDii       -->
	                            <--    HDR, SA, KE, Nr, IDir,
	                                          [ CERT, ] SIG_R
	HDR, [ CERT, ] SIG_I        -->

	certificate payload
	signature payload
	identification payload

	id + cert + sign の時
	id + sign の時

証明書のタイプって何？
	PKCS #7 wrapped X.509 certificate      1
	X.509 Certificate - Signature          4
	X.509 Certificate - Key Exchange       5
	NONE                                   0
	PGP Certificate                        2
	DNS Signed Key                         3
	Kerberos Tokens                        6
	Certificate Revocation List (CRL)      7
	Authority Revocation List (ARL)        8
	SPKI Certificate                       9
	X.509 Certificate - Attribute         10

証明書の取得方法
	発行してもらうのは考えない。
	getするタイミング
	タイプによって違うだろう。
		起動する前
		セッションを始める前
		セッションの間
	そもそもどうやって証明書をもらうの？
		PKCS#10を作るタイミング
	draft-bellovin-ipsra-getcert-00.txt
	draft-nourse-scep-02.txt

証明書の有効期限の検査方法
	X.509cert以外に有効期限はあるの？
	証明書とCRLを同時に送ってくる奴がいる。
	証明書にCRLの場所が書いてある場合。

証明書の管理方法
	タイプによって違う？
	ディレクトリ
		ディレクトリ名として相応しくない名前があるかも？
	1個のファイル
		netscapeのcert7.dbとか
	キャッシュ方法
	事前に設定しとく方法

証明書をつかえばスケールするのか？
	する。