<div dir="ltr"><p dir="ltr">Thanks Martin for a quick reply.<br>
I was looking at link for patches that you shared however could not identify which 6 patches include the fix as there are many patches available on this link:</p><p dir="ltr"><a href="http://git.strongswan.org/?p=strongswan.git;a=shortlog">http://git.strongswan.org/?p=strongswan.git;a=shortlog</a><br></p><p><br></p><p>BR</p><p>Sajal</p><p dir="ltr"><br></p><p dir="ltr"><br></p>
<div class="gmail_quote">On May 13, 2015 3:17 PM, "Martin Willi" <<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi,<br>
<br>
> ca section1<br>
>         cacert=/usr/local/etc/ipsec.d/cacerts/CA.pem<br>
<br>
> 6. After removing this and executing "ipsec update" we expect that the<br>
> SA will not get established as the end which does not have root CA of<br>
> peer will reject the IKE_AUTH.<br>
<br>
All CA certificates placed under the cacerts directory get loaded<br>
implicitly. The ipsec.conf ca section is there to load CA certificates<br>
from other locations, or to define additional properties for that CA<br>
(refer to the ipsec.conf manpage for details).<br>
<br>
Further, CA certificate unloading was not supported until 5.3.0, see<br>
[1]. With that version, you can re/unload all CA certificates from the<br>
cacerts directory using the "ipsec reread" command, or use "ipsec<br>
update" to re/unload CA certificates referenced in ipsec.conf ca<br>
sections.<br>
<br>
Regards<br>
Martin<br>
<br>
[1]<a href="https://wiki.strongswan.org/issues/842" target="_blank">https://wiki.strongswan.org/issues/842</a><br>
<br>
</blockquote></div>
</div>