Now I understand, the peer id MUST be the full subject line from the peer certificate, not only the CN from the subject line. When I replaced that in the ipsec.conf, the line pointing to the local peer certificate is not needed.<br>
<br><br><br><div class="gmail_quote">On Fri, Aug 31, 2012 at 1:11 PM, Jorge Ventura <span dir="ltr"><<a href="mailto:jorge.araujo.ventura@gmail.com" target="_blank">jorge.araujo.ventura@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I have a linux box configured to authenticate by RSA signature using x509 certificate self-signed. My peer is a cisco router ASA-5505.<br>
Both sides have the CA (self signed) certificate authority and they are using IKEv2 and everything is working but I have one question:<br>
<br>Why do I need to have the certificate from the peer installed locally in the directory /etc/ipsec.d/certs ??? It's weird to me because the ASA-5505<br>doesn't have any information about the certificate from the linux box, it's negotiated at the time of connection. If I remove the directive at ipsec.conf<br>

pointing to a local certificate copy from the peer, a receive a message:<br><br>constraint check failed: identity '10.15.1.1' required<br><br>and the connection does not succeed.<br><br>I think that my configuration is incomplete.<br>

<br><br>Thanks,<br>Ventura<br>
</blockquote></div><br>