<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:΢ÈíÑźÚ
}
--></style>
</head>
<body class='hmmessage'>
Hi Martin,<br><br>Thanks for your reply.<br>as your said, I used the same certificate chain.<br>when I delete sub ca1, sub ca2, from one side.<br>I got it from the peer.<br><br><br>> Subject: Re: [strongSwan] Help: using certificate chains<br>> From: martin@strongswan.org<br>> To: yadong_zhang@hotmail.com<br>> CC: users@lists.strongswan.org<br>> Date: Tue, 25 Jan 2011 09:11:15 +0100<br>> <br>> Hi,<br>> <br>> > Dose strongswan support certificate chains?<br>> > I means that I want to use the certificates as below.<br>> > root ca -> sub ca1 -> sub ca2 ->end <br>> <br>> Yes.<br>> <br>> > I put root ca, sub ca1, sub ca2's certificates in ipsec.d/cacerts put <br>> > end's certificate in ipsec.d/certs<br>> > <br>> > but I found that only end's certificate was sent to the peer.<br>> <br>> The IKEv2 daemon should send all certificates, but only if required.<br>> <br>> Each peer sends certificate requests for all CAs it has installed (ca,<br>> ca1 and ca2). The other then builds a trustchain up to the first trust<br>> anchor. If both peers use the same sub-CAs, only the end entity<br>> certificates are exchanged. If a peer does not have the sub-CAs<br>> installed, all certs should get exchanged.<br>> <br>> Regards<br>> Martin<br>> <br>                                        </body>
</html>