<div dir="ltr"><div><div><div><div>Hello everyone,<br><br></div>I am trying to establish ipsec sessions using ikev2 between two nodes with ipaddresses 10.206.1.10 and 10.206.1.11. I m using strongswan-5.1.1.<br></div>I could establish the sessions using certificates with no issues. Now I want to make use of ocsp feature supported in ikev2, for that purpose I added below section in ipsec.conf of both the nodes.<br>
<br>ca strongswan-ca<br>        cacert=signing-ca-1.crt<br>        ocspuri=<a href="http://10.206.1.11:8880">http://10.206.1.11:8880</a><br>        auto=add<br><br></div>Then while generating end entity certificates I edited openssl.cnf to include the below line,<br>
authorityInfoAccess = OCSP;URI: <a href="http://10.206.1.11:8880">http://10.206.1.11:8880</a><br></div><div>Same thing was reflected in the end entity certificates. <br><br></div><div>Also I started ocsp server in 10.206.1.11 with openssl command.<br>
openssl ocsp -index index.txt -CA /etc/ipsec.d/cacerts/signing-ca-1.crt -rsigner /etc/ipsec.d/cacerts/signing-ca-1.crt -rkey ./CondorSigningCA1/signing-ca-1.key -port 8880<br></div><div><div><br></div><div>When I tested this, I saw peers exchanging AuthorityInfoAccess as part of certificate data extensions. But I didnt any exchanges happening between ocsp server and peer to confirm the validity of certificates. I am certainly missing some configuration. I intend to make the ca as certificate validation authority. <br>
<br> Can any one suggest, what could've gone wrong. Your help in this regard is appreciated.<br><br></div><div>Regards,<br>Sriram.<br></div></div></div>