Sur le réseau représenté sur la figure 1 , les pare-feu fonctionnent comme des passerelles de sortie du réseau A et du réseau B. Les utilisateurs internes des deux réseaux communiquent via Internet. Pour garantir la sécurité des données sur Internet, les pare-feu ont configuré IPSec pour mettre en place un tunnel IPSec. En général, IPSec peut utiliser une clé pré-partagée pour négocier le tunnel IPSec. Cependant, l'utilisation d'une clé pré-partagée sur un grand réseau n'est pas sécurisée et prend du temps. Pour résoudre ce problème, les périphériques peuvent utiliser des certificats PKI pour s'authentifier mutuellement dans la configuration du tunnel PKI.

Figure 1 application PKI dans VPN IPSec

Une fois PKI configuré, les parties en communication s'authentifient les unes les autres pendant la négociation IKE. Cela garantit la sécurité dans l'échange de clés. En outre, le certificat fournit une fonction de gestion centralisée des clés pour IPSec et améliore l'évolutivité de l'ensemble du réseau IPSec. Sur un réseau IPSec avec PKI configuré, chaque appareil dispose d'un certificat de localisation émis par le centre d'authentification PKI. Lorsqu'un nouveau périphérique est déployé, le nouveau périphérique peut communiquer en toute sécurité avec d'autres périphériques en demandant un certificat, et les configurations sur d'autres périphériques n'ont pas besoin d'être modifiées. Cela réduit considérablement la charge de travail de configuration.