ภายใต้เงื่อนไขใดที่ต้องใช้ใบรับรองสำหรับ IKEv2

วิธีการรับรองความถูกต้องอาจเป็นข้อพิจารณา ตัวอย่างเช่น หากผู้ตอบกลับอนุญาตให้เพื่อนตรวจสอบความถูกต้องด้วยการตรวจสอบสิทธิ์ PSK หรือ EAP เท่านั้น ก็ไม่มีประโยชน์ที่จะส่ง เซอร์เทรค น้ำหนักบรรทุกใน IKE_SA_INIT การตอบสนอง (แม้ว่าจะไม่มีอันตรายใด ๆ ก็ตาม) ในทำนองเดียวกัน การส่ง a ใบรับรอง เพย์โหลดเมื่อรับรองความถูกต้องด้วย PSK

IKEv2 ไม่ได้ใช้ซึ่งแตกต่างจาก TLS เซอร์เทรคs เพื่อทริกเกอร์/ขอรหัสสาธารณะ/การรับรองความถูกต้องของใบรับรอง แม้ว่าจะใช้การตรวจสอบสิทธิ์คีย์สาธารณะ แต่เพย์โหลดก็เป็นทางเลือก และเช่น อาจใช้การรับรองความถูกต้อง PSK แม้ว่าจะได้รับคำขอใบรับรอง (เนื่องจากเพียร์อนุญาต)จุดประสงค์หลักคือช่วยเพื่อนเลือกใบรับรองหากมีหลายใบ (หรือเพื่อแสดงการตั้งค่าสำหรับการเข้ารหัสใบรับรองประเภทใดประเภทหนึ่งโดยเฉพาะ) โปรดทราบว่าการใช้งานบางอย่างอาจไม่ส่งใบรับรองหากไม่ได้รับคำขอใบรับรองใดๆ

ใบรับรอง payloads ก็เป็นทางเลือกเช่นกัน ใบรับรองเอนทิตีที่เชื่อถือได้สามารถติดตั้งในเครื่อง หรือเพียร์สามารถใช้คีย์สาธารณะธรรมดาที่จัดเก็บไว้ในเครื่องหรือเช่น ดึงข้อมูลผ่าน DNS และตรวจสอบผ่าน DNSSEC (ดู อาร์เอฟซี 4025). จริงๆ แล้วขึ้นอยู่กับสิ่งที่ trust anchors เพียร์ใช้และตำแหน่งที่จัดเก็บเหล่านี้ (เช่น การใช้ PKI จะต้องส่งใบรับรอง CA ระดับกลางเพิ่มเติมจากใบรับรองเอนทิตีปลายทาง หากเฉพาะใบรับรอง CA รูทเท่านั้นที่เชื่อถือได้ในเครื่อง) ก่อนระบุการกระจายตัวของ IKEv2 (อาร์เอฟซี 7383) บางครั้งการละเว้นใบรับรองหรือคำขอใบรับรองก็จำเป็นด้วยซ้ำเพื่อหลีกเลี่ยงการแยกส่วน IP ของ IKE_AUTH ข้อความเนื่องจากเพย์โหลดที่ค่อนข้างใหญ่