<span style="font-family: Arial; font-size: 13px;">Ok, thanks for the info Andreas. Will the android client be updated at the same time?<br><br>Ideally we would just be moving to ecdsa based certs but support for it is a bit spotty among the various android vendors.<br><br><br>On 2/10/2014 at 6:57 PM, "Andreas Steffen" <andreas.steffen@strongswan.org> wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;">Hi Pete,<br><br>On 10/02/2014 12:47 PM, cellkites@hushmail.com wrote:<br>> <br>> Awesome thanks for that. I believe I was having an issue with some<br>> intermediary firewalls / nat devices dropping my oversized packets due<br>> to the size of the rsa certs. Hopefully preloading them will fix that.<br>><br>The upcoming strongSwan 5.2.1 release will include support for the new<br>IKEv2 fragmentation standard, so any oversized IKE_AUTH packet issues<br>are going to be solved.<br><br>> Out of interest how does the strongswan daemon know which cert<br>> corresponds to which client? Is the client just sending the subject of<br>> it's certificate and then the daemon uses that to choose a corresponding<br>> client cert?<br>> <br>Lookup is based on the IKEv2 identity payload sent by the peer.<br><br>Best regards<br><br>Andreas<br><br>> <br>> On 2/10/2014 at 3:37 PM, "Martin Willi" <martin@strongswan.org> wrote:<br>> <br>>     Pete,<br>> <br>>     > I've copied them to the /etc/ipsec.d/certs directory and restarted the<br>>     > daemon but "ipsec listcerts" still only lists the certificates that I<br>>     > have a private key for.<br>> <br>>     Certificates from the cert directory do not get loaded automatically.<br>>     The directory merely holds the certificates you can directly reference<br>>     with left/rightcert. This is a little different from the swanctl x509<br>>     directory [1], for which all contained certificates get loaded<br>>     implicitly.<br>> <br>>     If you have a large bunch of client certificates to handle, you probably<br>>     don't want a conn entry in ipsec.conf for each. Usually you issue all<br>>     the certificates from a CA to avoid handling all the client certificates<br>>     separately, and just install the CA to cacerts.<br>> <br>>     Regards<br>>     Martin<br>> <br>>     [1]<a href="https://wiki.strongswan.org/projects/strongswan/wiki/SwanctlDirectory">https://wiki.strongswan.org/projects/strongswan/wiki/SwanctlDirectory</a><br>><br>======================================================================<br>Andreas Steffen                         andreas.steffen@strongswan.org<br>strongSwan - the Open Source VPN Solution!          <a href="http://www.strongswan.org">www.strongswan.org</a><br>Institute for Internet Technologies and Applications<br>University of Applied Sciences Rapperswil<br>CH-8640 Rapperswil (Switzerland)<br>===========================================================[ITA-HSR]==</blockquote></span>