Par défaut, iked utilise une identification par jeton de clés (publique/privée), un peu comme pour ssh. Vous pouvez les stocker dans des dossiers bien précis pour faciliter l'organisation (au format PEM), iked les prendra automatiquement en charge. Selon si les sources (srcid) et les destinations (dstid) sont écrites sous la forme d'adresses IP ou de noms de domaines, les clés publiques seront à enregistrer sous :

• Identité IPv4 : /etc/iked/pubkeys/ipv4/A.B.C.D
• Identité IPv6 : /etc/iked/pubkeys/ipv6/abcd:abcd::ab:bc
• Identité en nom de domaine : /etc/iked/pubkeys/fqdn/foo.bar.org
• Identité de type “adresse mail” : /etc/iked/pubkeys/ufqdn/user@foo.bar.org

Ce qui est génial, c'est qu'iked saura les retrouver comme un grand.

Dans le cadre de ce tutoriel, nous allons présenter la méthode la plus simple, à savoir se servir des clés publiques présentes par défaut sur une installation d'OpenBSD. Libre à vous de créer de nouvelles paires de clés avec la commande openssl si vous le souhaitez afin de changer l'algorithme de chiffrement. La partie privée des clés générées sera dans /etc/iked/private, mais vous l'auriez deviné tout seul ;).

Pour l'exemple, nous allons copier les clés déjà prêtes. C'est facile de les trouver, il s'agit du fichier /etc/iked/local.pub.

• Copiez ce fichier du client vers le serveur et placez-le à cet emplacement : /etc/iked/pubkeys/ufqdn/batman@cacahuete.tld (oui, vous pouvez mettre n'importe quelle adresse mail, du moment que vous utilisez la même dans la suite du tutoriel.
• Ensuite, copiez le fichier local.pub qui est sur le serveur vers votre ordinateur pour le placer dans /etc/iked/pubkeys/fqdn/chezmoi.tld. Remplacez le nom de domaine, il doit correspondre à celui de votre serveur, identifié plus tard dans les configurations par srcid et dstid.