数字证书用于在ipsec通讯会话双方之间建立一个加密的vpn 通道之前，保证会话双方的可信性。数字证书提供了这一保证。一个数字证书包括一个公开密钥和一些识别信息。这些识别信息是由一个受信任的第三方签名的。这个第三方是一个证书授权中心（ca）。因为这个ca 是可信的，所以它发行的证书也就是可信的。要获得一个证书，vpn会话的一方需要在一个证书申请表中将它自己的公钥发送到ca。这个证书请求包括用来唯一识别这个vpn会话方的身份的信息，例如一个ip地址，域名或者电子邮件地址。根据所申请的数字签名，ca创建一个数字证书，这个数字证书和vpn 会话方自己的证书一同生效。一旦vpn会话方获得了他们的数字证书和ca 证书，他们就准备好开始通讯了。当一个会话开始时，ike包括一个vpn对等的双方交换他们的数字证书的阶段。在这期间他们是由ca证书验证的。在这一验证过程之后，公共密钥被从这个数字证书中提取出来，并应用到要建立的ipsec vpn 通道中去。

    vigor路由器支持基于x.509标准的证书，vpn的对端也必须支持基于x.509标准的证书。

    在这里您可以生成，设置本地数字证书以及设定ca证书。请您在设定和配置证书前，先调整路由器的系统时间到准确的值，以获得有效的证书。