Windows8とSSLのEKUserverAuthフラグ？

ipsec pki --self は、自己署名証明書を作成するために使用されます。これは、証明書が、証明書に含まれている公開鍵と一致する秘密鍵で署名されていることを意味します。これは、CA証明書だけでなく、すべての証明書に使用できますが、証明書を信頼する必要のあるすべてのホストにインストールする必要があります。

ipsec pki --issue 一方、証明書に署名するために別のキーを使用します。その主な用途は、CAがエンドエンティティ証明書（または 中間CA 証明書）を発行/署名することです。これにより、CA証明書をインストールするだけで、そのCAによって発行されたすべての証明書を信頼できるため、展開が容易になります。

両方のコマンドが新しい証明書を作成するため、serverAuth拡張キー使用フラグ（--flag serverAuth）は両方に有効なオプションです。エンドエンティティ証明書の作成に使用するコマンドはユーザー次第です。展開を容易にするために、2番目のオプションをお勧めします。

同様に、チュートリアルで説明されている--san ...オプションは、証明書にsubjectAltName拡張子を追加するため、両方のコマンドで使用できます。

証明書は基本的に、CAによって署名されたサーバーの公開鍵（いくつかの追加フィールドを含む）です。証明書ファイルには、従来、.crt拡張子が付いており、次の形式になっています。

-----BEGIN CERTIFICATE-----
MII...<snip>
-----END CERTIFICATE-----

「ゲートウェイ」とは、IPSecゲートウェイを指します。