
<div>Hi Martin,</div>

<div> </div>

<div>Any update on this issue ? Is there any other way to fix the issue?</div>

<div> </div>

<div>BR</div>

<div>Sajal<br><br></div>

<div class="gmail_quote">On Thu, Jun 10, 2010 at 5:21 PM, Sajal Malhotra <span dir="ltr"><<a href="mailto:sajalmalhotra@gmail.com">sajalmalhotra@gmail.com</a>></span> wrote:<br>

<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">

<div>Hi Martin,</div>

<div> </div>

<div>Thanks for the help</div>

<div> </div>

<div>I tried the patch you gave.</div>

<div> </div>

<div>After compilation with your patch we followed the steps below:-</div>

<div>1. gave the following ipsec.conf file to IKEv2 stack having two ca sections:-</div>

<div> </div>

<div>*********start ipsec.conf*****************************</div>

<div> config setup<br> cachecrls=no<br> charonstart=yes<br> plutostart=no<br> strictcrlpolicy=no<br> uniqueids=no</div>

<div> </div>

<div>ca OldWithNew</div>

<div> cacert=/tmp/cacertown.pem<br> auto=add</div>

<div> </div>

<div>

<div>ca NewWithNew</div>

<div> cacert=/tmp/cacertnwn.pem<br> auto=add</div>

<div> </div></div>

<div>conn test1<br> ikelifetime=24h<br> keyexchange=ikev2<br> keyingtries=%forever<br> keylife=90m<br> reauth=no<br> rekey=yes<br> mobike=no<br> dpddelay=0<br> rekeymargin=4m<br> ike=aes128-sha1-modp1024,3des-sha1-modp1024!<br>

 esp=aes128-sha1-modp1024,3des-sha1-modp1024!<br> authby=rsasig<br> left=20.20.20.21<br> leftsubnet=<a title="blocked::http://16.16.16.2/32" href="http://16.16.16.2/32" target="_blank">16.16.16.2/32</a><br> right=10.10.10.2<br>

 rightsubnet=<a title="blocked::http://14.14.14.2/32" href="http://14.14.14.2/32" target="_blank">14.14.14.2/32</a><br> leftprotoport=sctp/4000<br> rightprotoport=sctp/4000<br> leftcert=/tmp/mycert.pem<br> rightid=%any<br>

 auto=add</div>

<div> ***********end ipsec.conf*****************************</div>

<div> </div>

<div> </div>

<div>2. After that I removed the 'OldWithNew' ca section from the ipsec.conf (only one ca section is removed) and fired 'ipsec reload' command.</div>

<div><strong>3. In display of "ipsec listall" CA information section shows one 1 Ca cert however in CA cert section and also in output of command 'ipsec listcacerts' <font color="#ff0000">it still shows 2 ca certs.</font></strong></div>


<div> </div>

<div>Can you tell me if there is any other way to fix this?</div>

<div> </div>

<div>Thanks for your help.</div>

<div> </div>

<div>Regards,</div>Sajal 

<div>

<div></div>

<div class="h5"><br><br>

<div class="gmail_quote">On Mon, Jun 7, 2010 at 5:26 PM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br>

<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">

<div><br><br>> Can you direct me to the place from where i can update the code so<br>> that we can clear the cache externally<br><br></div>Please try the attached patch, it should flush the certificate cache if<br>

a CA section is deleted via "ipsec reload". I'll push it if this works<br>for your setup.<br><br>Regards<br><font color="#888888">Martin<br><br></font></blockquote></div><br></div></div></blockquote></div><br>