<div dir="ltr">Our CA cert is pem format.<div><br></div><div>So, the VPN Gateway (IP or Domain Name) does appear in CN or Subject Alternate Name of the server certificate, correct? If not, that sure will cause the iPhone error you described - <span style="color:rgb(80,0,80);font-family:arial,sans-serif;font-size:13px">"Could not validate the server certificate"</span>.</div>
<div><br></div><div style>Beyond that, I'm afraid I don't have much to offer.</div><div><div><br></div><div style>Thanks,</div><div style>Bharath Kumar</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Wed, Jan 2, 2013 at 4:55 AM, Jason <span dir="ltr"><<a href="mailto:strongswan@lakedaemon.net" target="_blank">strongswan@lakedaemon.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Bharath,<br>
<div class="im"><br>
On Tue, Jan 01, 2013 at 08:13:54PM -0800, Bharath Kumar wrote:<br>
> On Tue, Jan 1, 2013 at 7:45 PM, Jason <<a href="mailto:strongswan@lakedaemon.net">strongswan@lakedaemon.net</a>> wrote:<br>
</div><div class="im">> > I just got strongswan installed on my debian squeeze box this evening.<br>
> > everything seems to be going smoothly (eg I'm behind a nat that<br>
> > _actually_ forwards esp packets) until I try to connect.  My iphone<br>
> > gives me "Could not validate the server certificate".<br>
> ><br>
> > I'm using the IPSec configuration (no l2tp) with my own CA.<br>
> ><br>
> > So, I've tries a bunch of different flavors of "openssl pkcs12 -export<br>
> > ..." to generate a .p12 of my ca.  No matter what I do, I get "The<br>
> > container "Identity Certificate" must contain only one certificate and<br>
> > its private key."<br>
> ><br>
> > Is apple really that daft as to require the CA's _private_ key?  No, I'm<br>
> > probably missing something.  Any pointers?  I think I reached the end of<br>
> > both duckduckgo and google...<br>
> ><br>
</div><div class="im">> Not sure if you are using the procedure documented here but it worked<br>
> flawlessly for us.<br>
> <a href="http://wiki.strongswan.org/projects/strongswan/wiki/IOS_(Apple)" target="_blank">http://wiki.strongswan.org/projects/strongswan/wiki/IOS_(Apple)</a>.<br>
<br>
</div>Yes, these are the exact instuctions I followed.<br>
<div class="im"><br>
> One thing I was going to ask is to check if you have<br>
>   (a) installed the client certificate in PKCS #12 format  AND<br>
<br>
</div>Did that, including key.<br>
<div class="im"><br>
>   (b) Installed your CA certificate ADDITIONALLY<br>
<br>
</div>What format was your CA certificate?  pkcs12?  What exact command did<br>
you use to convert it?<br>
<br>
thx,<br>
<br>
Jason.<br>
</blockquote></div><br></div>