<div dir="ltr"><div><div>Hi Tobias,<br><br></div> Thanks for help, now the rightca option works as expected. But what are reasons that this option only works in case right certificate is installed? Wouldn't be a safer solution if, in case of lack of certificate mentioned in rightca option authentiaction also failed?<br><br></div><div>Best regards,<br></div><div>John<br></div><div><br></div><br><div><div><div class="gmail_extra"><br><div class="gmail_quote">2016-11-25 14:46 GMT+01:00 John Brown <span dir="ltr"><<a href="mailto:jb20141125@gmail.com" target="_blank">jb20141125@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><div>Hi Tobias,<br></div> I didn't notice this warning but I'm going to test not only this scenario but also others, hoping that with your hints, I'll manage to set this up. Thank you for your help!<br><br></div>Regards,<br></div>John<br></div><div class="gmail-HOEnZb"><div class="gmail-h5"><div class="gmail_extra"><br><div class="gmail_quote">2016-11-25 14:37 GMT+01:00 Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi John,<br>
<span><br>
> Did you mean that when using rightca, I should have locally installed<br>
> the certificate with DN the same as provided for rightca option<br>
> otherwise the option is igmored?<br>
<br>
</span>Yep.  You should actually see a warning in the log, saying something<br>
like "CA certificate "..." not found, discarding CA constraint".<br>
<br>
Regards,<br>
Tobias<br>
<br>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div></div></div></div>