<div dir="ltr"><div><div><div>Hi Tobias, <br><br></div>Thank you for your answer. But I'm not sure I've understood you well. Did you mean that when using rightca, I should have locally installed the certificate with DN the same as provided for rightca option otherwise the option is igmored?<br><br><br></div>Regards,<br></div>John<br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-11-25 9:46 GMT+01:00 Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi John,<br>
<span class=""><br>
>         rightca="CN=aa, ST=aa, C=aa, E=aa, O=aa, L=aa, OU=aa, OU=aa"<br>
><br>
> I've changed values of fields in righid, but rightca is taken from real<br>
> config without modification.<br>
<br>
</span>The CA constraint internally uses certificates to match against the<br>
trust chain.  So you can't set `rightca` to an arbitrary DN.  There must<br>
exist a CA certificate locally that has the configured subject DN.<br>
<br>
Regards,<br>
Tobias<br>
<br>
</blockquote></div><br></div>