<div dir="ltr"><div>Thanks Tobias<br>So is there a way to send the SHA-1 hashes of the public keys of CAs. Do we do that already? If not, is there a way to enable it?<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 22, 2016 at 12:47 AM, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Sameer,<br>
<span class=""><br>
> The issue I am facing is the peer is request CA certificate in its certificate request payload in the message.<br>
<br>
</span>A certificate request payload contains the SHA-1 hashes of the public<br>
keys of CAs a peer accepts (or prefers) end-entity certificates from.<br>
It's not a request to actually send the CA certificate but for the peer<br>
to select its end-entity certificate used for the authentication.<br>
<span class=""><br>
> Is there a way to send the CA certificate if the peer is requesting that<br>
> in the certificate request payload? If yes, how can I do that?<br>
<br>
</span>strongSwan does currently never send the root CA certificate of a<br>
certificate chain.  Because how would the other peer trust it?<br>
<br>
Regards,<br>
Tobias<br>
<br>
</blockquote></div><br></div>