<div dir="ltr"><div><div><div><div><div>Hi Tobias, <br></div>Sorry for delay, I didn't notice your message. <br><br>In the meantime my experiments has shown that the problem was not associated with certificates at all. This message about bad signature was a result of missing some strongswan basic plugins (so it was an unexpected strongswan installation problem!), all the certificates involved in authentication had valid signatures. <br><br></div>But extracting the certificates from log can be useful in future, I'm going to try your advice. I'was trying "enc 4" before but could not find the payload I was interested in - now if I know that they are in logs for sure, I'm going to pay more attention during searching the logs.<br><br></div>Thank you for your help,<br></div>Best regards,<br></div>John<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">2017-01-25 11:31 GMT+01:00 Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi John,<br>
<span class=""><br>
> We have problems with certificate authentication and see "RSA signature<br>
> verification failed: Bad signature" during strongswan connection try. We<br>
> would like to retrieve all remote certificate chain to "manually" check<br>
> this issue. Is this possible using strongswan (for example by enabling<br>
> some debugs)?<br>
<br>
</span>You could increase the log level to get the certificates sent by the<br>
peer.  But I'm not sure if that would help much.  When exactly does this<br>
happen?  When verifying a certificate?  When verifying the IKE<br>
authentication?  Do you use IKEv2 or IKEv1?  Do you have the correct<br>
root CA certificate installed?<br>
<br>
Anyway, if you want to extract the certificates from the log you may<br>
increase the log level for the enc subsystem to 3 [1].  You'll get lots<br>
of output that way, look for data logged for CERTIFICATE payloads<br>
(you'll also have to reconstruct the binary data from the hex output in<br>
the log).<br>
<br>
Regards,<br>
Tobias<br>
<br>
[1] <a href="https://wiki.strongswan.org/projects/strongswan/wiki/LoggerConfiguration" rel="noreferrer" target="_blank">https://wiki.strongswan.org/<wbr>projects/strongswan/wiki/<wbr>LoggerConfiguration</a><br>
<br>
</blockquote></div><br></div>