Метод аутентификации может быть рассмотрен. Например, если ответчик разрешает одноранговым узлам аутентифицироваться только с помощью аутентификации PSK или EAP, довольно бессмысленно отправлять какие-либо СЕРТРЕК
полезные нагрузки в IKE_SA_INIT
ответ (хотя и реального вреда в нем тоже нет). Точно так же бесполезно отправлять СЕРТИФИКАЦИЯ
полезная нагрузка при аутентификации с помощью PSK.
В отличие от TLS, IKEv2 не использует СЕРТРЕК
s для запуска/запроса аутентификации с открытым ключом/сертификатом. Даже если используется аутентификация с открытым ключом, полезные нагрузки являются необязательными и, например. Аутентификация PSK может использоваться, даже если получен запрос сертификата (при условии, что одноранговый узел разрешает это).Их основная цель — помочь узлу выбрать сертификат, если он доступен несколько (или выразить предпочтение определенному типу кодирования сертификата). Обратите внимание, что некоторые реализации могут не отправлять сертификаты, если они не получили никаких запросов сертификатов.
СЕРТИФИКАЦИЯ
полезные нагрузки также необязательны. Сертификаты доверенных конечных объектов могут быть установлены локально, или одноранговые узлы могут использовать простые открытые ключи, которые хранятся локально, или, например. извлекается через DNS и проверяется через DNSSEC (см. RFC 4025). Это действительно зависит от того, какие якоря доверия используют одноранговые узлы и где они хранятся (например, использование PKI потребует отправки промежуточных сертификатов CA в дополнение к сертификату конечного объекта, если локально доверенным является только корневой сертификат CA). До того, как была указана фрагментация IKEv2 (RFC 7383), опускание сертификатов или запросов сертификатов иногда было даже необходимо, чтобы избежать фрагментации IP-адресов. IKE_AUTH
сообщение из-за относительно больших полезных нагрузок.