<div dir="ltr"><div><div>Strongswan 5.1.2 on Android.<br><br></div>Am I correct in understanding that the rightca=   ipsec.conf directive should over-rule sending CERTREQs for each of the certs in ...ipsec.d/cacerts/ ?  That is, only the CERTREQ for  rightca should be requested?<br>
<br></div><div>If so, that sounds like what I want, but I'm seeing:<br>...<br>17:03:45 00[CFG]   <b>loaded ca certificate "C=US, O=Entrust, Inc., OU=<a href="http://www.entrust.net/rpa">www.entrust.net/rpa</a> is incorporated by reference, OU=(c) 2009 Entrust, Inc., CN=Entrust Certification Authority - L1C" from '<path-to-certs>/ipsec.d/cacerts/entrust_l1c.cer'</b><br>
17:03:45 00[CFG]   loaded ca certificate "O=Entrust.net, OU=<a href="http://www.entrust.net/CPS_2048">www.entrust.net/CPS_2048</a> incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority (2048)" from '<path-to-certs>/ipsec.d/cacerts/entrust_2048_chain_root.cer'<br>
17:03:45 00[CFG]   loaded ca certificate "C=US, O=Entrust.net, OU=<a href="http://www.entrust.net/CPS">www.entrust.net/CPS</a> incorp. by ref. (limits liab.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Secure Server Certification Authority" from '<path-to-certs>/ipsec.d/cacerts/entrust_ssl_ca.cer'<br>
...<br>17:03:45 06[CFG] CA certificate <b>"C=US, O=Entrust, Inc., OU=<a href="http://www.entrust.net/rpa">www.entrust.net/rpa</a> is incorporated by reference, OU=(c) 2009 Entrust, Inc., CN=Entrust Certification Authority - L1C" not found, discarding CA constraint</b><br>
</div><div>[Where <path-to-certs> is where my ipsec.d directory is located]<br></div><div><br></div><div>The error seems pretty clear: I'm mis-configuring rightca= ... however, can anyone help me, as to me the "not found" line matches exactly one of the "loaded ca certificate" lines above it. Namely:<br>
loaded ca certificate <br>"C=US, O=Entrust, Inc., OU=<a href="http://www.entrust.net/rpa">www.entrust.net/rpa</a> is incorporated by 
reference, OU=(c) 2009 Entrust, Inc., CN=Entrust Certification Authority
 - L1C"<br></div><div>vs.<br>"C=US, O=Entrust, Inc., OU=<a href="http://www.entrust.net/rpa">www.entrust.net/rpa</a> is incorporated by 
reference, OU=(c) 2009 Entrust, Inc., CN=Entrust Certification Authority
 - L1C" not found<br></div><div>Those two DNs are the same.  What am I missing?<br></div><div><br><br>Is there a different format for rightca than I'm using?  Does it perhaps need just the "CN=" part or something?<br>
<br>Thanks,<br><br></div><div>~Mark<br></div></div>