<div dir="ltr"><div>Hello all,<br><br>I'm using Linux strongSwan U5.2.1/K3.4.112 and I'm trying to implement rightca option in ipsec.conf file but without a success.<br><br>As far as I understand the documentation, if rightca contains DN of a certificate authority which lies in the trust path from the end device cert to rootca, authentication process will pass (assuming that other elements are configured fine) otherwise will fail and this is the functionality I need. But in my scenario,  whatever is the value of rightca, the authentication process pass with success. <br><br>I've put rightca on the initiator of IKEv2 tunnel, root ca chain path lenght is 2 (root ca->sub1->sub2->end device cert). Currently only root ca is installed in /etc/ipsec.d/cacerts. <br><br></div>Part of the connection config:<br><div><br>conn lap1<br>        auto=add<br>        left=%any<br>        right=192.168.1.1<br>        rightsubnet=<a href="http://10.0.0.0/24">10.0.0.0/24</a><br>        ...<br>        leftauth=pubkey<br>        rightauth=pubkey<br>        leftcert=cert.crt<br>        rightid="CN=*, ST=Stttt, C=Cccc, E=E@eeee, O=Oooooo, L=Lllllll, OU=*, OU=Ouuuuuu"<br>        rightca="CN=aa, ST=aa, C=aa, E=aa, O=aa, L=aa, OU=aa, OU=aa"<br><br>I've changed values of fields in righid, but rightca is taken from real config without modification.<br><br>I'm probably missing something obvious, or does not understand this feature, but I have no idea, what this can be.<br><br>Does anybody knows?<br><br>Best regards,<br>John,<br><br><br><br><br></div></div>