<span style="font-family: Arial; font-size: 13px;"><span style="font-family:Arial;font-size:13px;"><br>Awesome thanks for that.
 I believe I was having an issue with some intermediary firewalls / nat 
devices dropping my oversized packets due to the size of the rsa certs. 
Hopefully preloading them will fix that.<br><br>Out of interest how does
 the strongswan daemon know which cert corresponds to which client? Is 
the client just sending the subject of it's certificate and then the 
daemon uses that to choose a corresponding client cert?</span><br><span style="font-family:Arial;font-size:13px;"><br><br>On 2/10/2014 at 3:37 PM, "Martin Willi" <martin@strongswan.org> wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;">Pete,<br><br>> I've copied them to the /etc/ipsec.d/certs directory and restarted the<br>> daemon but "ipsec listcerts" still only lists the certificates that I<br>> have a private key for.<br><br>Certificates from the cert directory do not get loaded automatically.<br>The directory merely holds the certificates you can directly reference<br>with left/rightcert. This is a little different from the swanctl x509<br>directory [1], for which all contained certificates get loaded<br>implicitly.<br><br>If you have a large bunch of client certificates to handle, you probably<br>don't want a conn entry in ipsec.conf for each. Usually you issue all<br>the certificates from a CA to avoid handling all the client certificates<br>separately, and just install the CA to cacerts.<br><br>Regards<br>Martin<br><br>[1]<a target="_blank" href="https://wiki.strongswan.org/projects/strongswan/wiki/SwanctlDirectory" onclick="window.open('https://wiki.strongswan.org/projects/strongswan/wiki/SwanctlDirectory');return false;">https://wiki.strongswan.org/projects/strongswan/wiki/SwanctlDirectory</a></blockquote></span></span>