<div dir="ltr"><div>I am using Apple Configurator to set up the client profile, which includes:  </div><div><ul><li>Certificate identification, by uploading a pfx file into the Certificate payload.<br></li><li>In the vpn payload configurator requires both a local identifier and remote identifier, so  the remote identifier is <a href="http://vpn.example.com">vpn.example.com</a>, and local identifier testclient.<br></li><li>The SAN in the certificate matches the local identifer, hence testclient.<br></li></ul></div><div><br></div><div>On the ipsec.conf file, I have the following configuration.  </div><div> config setup</div><div>#        uniqueids=never</div><div> conn TEMPLATE_IKEv2_Apple</div><div>       keyexchange=ikev2</div><div>        leftcert=TestEnvAltName.cer</div><div>        leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>       rightsourceip=<a href="http://10.60.72.0/21">10.60.72.0/21</a></div><div>       leftsendcert=always </div><div>       rightdns=158.43.128.72,195.129.12.115</div><div>       dpdaction=clear</div><div>       auto=add</div><div>       leftid=*.<a href="http://example.com">example.com</a></div><div><br></div><div>This configuration works fine, and the client connects to the vpn, however I can see that the client device is identifying itself as testclient, in accordance with the local identifier I gave it.</div><div><br></div><div>My problem is integrating the ios8 ikev2 devices into my production environment, where I actually assign the rightsourceip address according to the values in the certificate distinguished name field.  To do this for other devices I'm matching on the rightid DN, hence rightid="C=GB, OU=*, CN=*"</div><div><br></div><div>My question is my ios8 devices seem to be identifying themselves to strongswan solely according to their local identifier (testclient) rather than the certificate DN.  It also won't be possible to replicate the contents of the DN in the local identifier (and the SAN).  </div><div><br></div><div>Therefore is there anyway I can still use certificate matching to assign the rightsourceip, when ios8 forces explict assignment of a local identifier in the client profile?   </div><div><br></div><div>Thanks </div><div><br></div><div>Janet</div></div>