当我想到 CA 证书和本地证书时，有些事情困扰着我。

以下是我的与杜松有关的查询，但也可能是通用的。

1）“request security pki ca-certificate enroll ca-profile ROOT2”上面是用来从CA服务器获取CA证书的，如果我没记错的话。并且相同的（证书）用于确认它确实是受信任的 CA 服务器。但是证书实际上包含什么？设备如何知道其预期的 CA 服务器？

上图显示了接收方如何接收证书并使用 CA 的公钥对其进行解密。但是收件人是如何知道公钥和哈希算法的呢？

-> 在这一切发生之前单独协商吗？

-> 这会以明文形式发生吗？

->而且，它是一次性的吗，因为 CA 证书是加载到路由器上的，并且只用于验证 CA 服务器一次，还是在 IPSec 对等体之间的通信流的任何时间再次使用它？

2）“请求安全 pki 本地证书注册证书 ID”

在上述步骤中，VPN 对等方正在请求本地证书。

-> 那么，CA 服务器是在此步骤中了解对等方的公钥还是提前交换好？

-> 上面的图表是否也适用于本地证书？在这种情况下，证书包含对等方的公钥和其他信息，例如主题等，它是否对其进行哈希处理以创建“指纹/摘要”并再次使用其私钥对其进行加密？

-> 如果上述过程正确，那么对等方是否再次通过使用 CA 的公钥解密然后仅将其发送给其他对等方来检查本地证书的完整性和真实性？如果不是，是否直接将收到的本地证书发送给对等方？

我无法得到上述问题的答案。

请帮助我理解相同。提前非常感谢。