<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri" size="2"><span style="font-size:11pt;">
<div style="margin-bottom:6pt;">Hello,</div>
<div style="margin-bottom:6pt;">Our IKEv2 strongSwan Linux client systems should interoperate with a SEG having limited capabilities</div>
<div style="margin-bottom:6pt;">for building up the CERT payload of the IKE-SA-AUTH response. The SEG's CERT includes only the subject</div>
<div style="margin-bottom:6pt;">certificate (no other ancestor certificates are sent within its CERT).</div>
<div style="margin-bottom:6pt;">Under which client configuration strongSwan is able to validate the remote SEG?</div>
<div> More details on a specific use case:</div>
<div style="padding-left:35.4pt;">Trust anchor “RootX” configured on client and SEG</div>
<div style="padding-left:35.4pt;">Client cert chain : “RootX / sub-CAy / client” (all certificates stored on client)</div>
<div style="padding-left:35.4pt;">Client sends “sub-CAy/client” certificates in IKEv2 CERT payload (RootX cert.  not sent)</div>
<div style="padding-left:35.4pt;">SEG cert chain : “RootX/sub-CAy/SEG” (same hierarchy, different end entities)</div>
<div style="padding-left:35.4pt;">SEG sends only the “SEG” certificate in CERT payload (instead of sub-CAy/SEG”)</div>
<div> </div>
<div>Does authentication work?</div>
<div> </div>
<div>Best Regards</div>
<div>Mugur</div>
<div> </div>
<div> </div>
</span></font>
</body>
</html>