Windows 8 и флаг SSL EKU serverAuth?

ipsec pki --self используется для создания самоподписанный сертификат. Это означает, что сертификат подписан закрытым ключом, который соответствует открытому ключу, содержащемуся в сертификате. Это можно использовать для любого сертификата, а не только для сертификатов CA, но для этого требуется, чтобы сертификат был установлен на всех хостах, которые должны ему доверять.

ipsec pki --issue с другой стороны, для подписи сертификатов используется другой ключ. Его основное использование - для ЦС выдавать / подписывать сертификаты конечных объектов (или промежуточный CA сертификаты). Это упрощает развертывание, поскольку вам просто нужно установить сертификат ЦС, чтобы доверять всем сертификатам, выпущенным этим ЦС.

Поскольку обе команды создают новые сертификаты, serverAuth Флаг расширенного использования ключа (--flag serverAuth) - допустимый вариант для обоих. Какую команду вы используете для создания сертификатов конечных объектов, зависит от вас, для упрощения развертывания рекомендуется второй вариант.

Точно так же --san ... опция, упомянутая в руководстве, добавляет subjectAltName расширение сертификата, поэтому его тоже можно использовать с обеими командами.

Сертификат - это, по сути, открытый ключ вашего сервера (с несколькими дополнительными полями), подписанный вашим центром сертификации. Файл сертификата традиционно имеет .crt расширение и имеет формат:

-----BEGIN CERTIFICATE-----
MII...<snip>
-----END CERTIFICATE-----

Под «шлюзом» они имеют в виду ваш шлюз IPSec.