
<div dir="ltr">Thanks Andreas,<div><br></div><div>It worked, I know started to implement in Davici. I had PSK working in Davici. With certificates, I am having  following issue during parse_certs().</div><div><br></div><div><div>09[LIB]   file coded in unknown format, discarded</div><div>09[LIB] building CRED_CERTIFICATE - X509 failed, tried 4 builders</div></div><div><br></div><div><br></div><div><br></div><div>Corresponding code is for Davici is </div><div><div>        davici_list_start(r,"certs");</div><div>        davici_list_itemf(r,"%s","/usr/local/etc/swanctl/x509/hostCert.pem");</div><div>        davici_list_end(r);</div></div><div><br></div><div><br></div><div>I have tried file name with and without path.   </div><div><br></div><div>certs = hostCert.pem worked in swanctl.conf as attached in previous email.  </div><div><br></div><div><br></div><div>Do you know what could be issue here? Looks like software is not able to recognize the pem format but again it worked when using swanctl.conf file. </div><div><br></div><div>Thanks,</div><div>Rajeev</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 2, 2016 at 5:41 AM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>

<br>

according to your log, the initiator and responder create their<br>

own Root CA certificate and store it locally in<br>

/usr/local/etc/swanctl/x509ca. Therefore it is not surprising<br>

that no trust into the received host certificate can be established<br>

because it has been signed with the private key of a different<br>

root CA (although the Distinguished Name of the issuer is the same).<br>

<br>

Fix: Generate only one private key and matching self-signed<br>

Root CA certificate. Use the private Root CA key to sign both<br>

initiator and responder host certificates and deploy the Root CA<br>

certificate on both hosts.<br>

<br>

Best regards<br>

<br>

Andreas<br>

<span class=""><br>

On 01.08.2016 21:24, rajeev nohria wrote:<br>

><br>

> I was able to establish IKE connection using PSK but when using pubkey I<br>

> am not able to able to establish the IKE connection.<br>

><br>

> When I issue sudo swanctl --initiate --child net<br>

><br>

><br>

> At receptor, it returns the Auth_failed.  Please see the swanctl.conf,<br>

> strongswan.conf and charon.log.<br>

><br>

> Aug  1 12:09:21 12[CFG] <rw|1> no issuer certificate found for "C=US,<br>

> ST=MA, L=Lowell, O=Arris, CN=10.13.199.185"<br>

> Aug  1 12:09:21 12[IKE] <rw|1> no trusted RSA public key found for<br>

> '10.13.199.185'<br>

> Aug  1 12:09:21 12[IKE] <rw|1> peer supports MOBIKE<br>

> Aug  1 12:09:21 12[ENC] <rw|1> added payload of type NOTIFY to message<br>

> Aug  1 12:09:21 12[ENC] <rw|1> order payloads in message<br>

> Aug  1 12:09:21 12[ENC] <rw|1> added payload of type NOTIFY to message<br>

> Aug  1 12:09:21 12[ENC] <rw|1> generating IKE_AUTH response 1 [<br>

> N(AUTH_FAILED) ]<br>

><br>

> I used following commands to create certificates.<br>

><br>

</span>> *Initiator:*<br>

<span class="">> -----------<br>

><br>

> sudo ipsec pki --gen --type rsa --size 4096 --outform pem ><br>

> /usr/local/etc/swanctl/rsa/strongswanKey.pem<br>

><br>

><br>

> sudo chmod 600  /usr/local/etc/swanctl/rsa/strongswanKey.pem<br>

><br>

><br>

> sudo ipsec pki --self --ca --in<br>

> /usr/local/etc/swanctl/rsa/strongswanKey.pem --digest sha256 --dn "C=US,<br>

> ST=MA, O=Arris, CN=StrongSwan Root CA" --outform pem ><br>

> /usr/local/etc/swanctl/x509ca/strongswanCert.pem<br>

><br>

><br>

> sudo ipsec pki --print --in /usr/local/etc/swanctl/x509ca/strongswanCert.pem<br>

><br>

><br>

> sudo ipsec pki --gen --type rsa --size 4096 --outform pem ><br>

> /usr/local/etc/swanctl/rsa/hostKey.pem<br>

><br>

><br>

> sudo chmod 600 /usr/local/etc/swanctl/rsa/hostKey.pem<br>

><br>

><br>

><br>

> sudo ipsec pki --pub --in /usr/local/etc/swanctl/rsa/hostKey.pem --type<br>

> rsa | ipsec pki --issue --digest sha256 --cacert<br>

> /usr/local/etc/swanctl/x509ca/strongswanCert.pem --cakey<br>

> /usr/local/etc/swanctl/rsa/strongswanKey.pem --dn "C=US, ST=MA,<br>

> L=Lowell, O=Arris, CN=10.13.199.185" --san 10.13.199.185  pem ><br>

> /usr/local/etc/swanctl/x509/hostCert.pem<br>

><br>

><br>

> Receptor:<br>

> --------------<br>

</span>> *<br>

> *<br>

> *sudo ipsec pki --gen --type rsa --size 4096 --outform pem ><br>

> /usr/local/etc/swanctl/rsa/strongswanKey.pem*<br>

> *<br>

> *<br>

> *sudo chmod 600  /usr/local/etc/swanctl/rsa/strongswanKey.pem*<br>

> *<br>

> *<br>

> *sudo ipsec pki --self --ca --in<br>

<span class="">> /usr/local/etc/swanctl/rsa/strongswanKey.pem --digest sha256 --dn "C=US,<br>

> ST=MA, O=Arris, CN=StrongSwan Root CA" --outform pem ><br>

</span>> /usr/local/etc/swanctl/x509ca/strongswanCert.pem*<br>

> *<br>

> *<br>

> *sudo ipsec pki --print --in<br>

> /usr/local/etc/swanctl/x509ca/strongswanCert.pem*<br>

> *<br>

> *<br>

> *sudo ipsec pki --gen --type rsa --size 4096 --outform pem ><br>

> /usr/local/etc/swanctl/rsa/hostKey.pem*<br>

> *<br>

> *<br>

> *sudo chmod 600 /usr/local/etc/swanctl/rsa/hostKey.pem*<br>

><br>

> *sudo ipsec pki --pub --in /usr/local/etc/swanctl/rsa/hostKey.pem --type<br>

<span class="">> rsa | ipsec pki --issue --digest sha256 --cacert<br>

> /usr/local/etc/swanctl/x509ca/strongswanCert.pem --cakey<br>

> /usr/local/etc/swanctl/rsa/strongswanKey.pem --dn "C=US, ST=MA,<br>

> L=Lowell, O=Arris, CN=10.13.199.130" --san 10.13.199.130 --outform pem ><br>

</span>> /usr/local/etc/swanctl/x509/hostCert.pem*<br>

><br>

><br>

><br>

><br>

><br>

><br>

> _______________________________________________<br>

> Users mailing list<br>

> <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>

> <a href="https://lists.strongswan.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>

><br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

======================================================================<br>

Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a><br>

strongSwan - the Open Source VPN Solution!          <a href="http://www.strongswan.org" rel="noreferrer" target="_blank">www.strongswan.org</a><br>

Institute for Internet Technologies and Applications<br>

University of Applied Sciences Rapperswil<br>

CH-8640 Rapperswil (Switzerland)<br>

===========================================================[ITA-HSR]==<br>

<br>

</font></span></blockquote></div><br></div>