<div dir="ltr">Hi,<div>I've got a .mobileconfig file set up that will allow a macOS/iOS user to connect to my SSwan VPN server (5.6.1)</div><div>In it I have a cert payload defined containing both the intermediate and root cert of the server certificate. This all works just fine</div><div><br></div><div>However, our security people are objecting to the fact that I'm installing a root CA on the client device.</div><div><br></div><div>Server cert has an intermediate cet between it and the root CA</div><div><br></div><div>server config is</div><div><br></div><div><div>conn it-services-ikev2</div><div>  left=%any</div><div>  leftauth=pubkey</div><div>  leftcert=vpn.york.ac.uk.pem</div><div>  leftid=@<a href="http://vpn.york.ac.uk">vpn.york.ac.uk</a></div><div>  leftsendcert=always</div><div>  leftsubnet=<a href="http://0.0.0.0/0,::/0">0.0.0.0/0,::/0</a></div><div>  leftfirewall=yes</div><div>  right=%any</div><div>  rightauth=eap-radius</div><div>  rightsendcert=never</div><div>  rightgroups="Cserv"</div><div>  eap_identity=%any</div><div>  keyexchange=ikev2</div><div>  rightsourceip=%itservices</div><div>  fragmentation=yes</div><div>  auto=add</div></div><div><br></div><div><br></div><div>If I remove the root cert from the mobileconfig, connection fails. Should I be able to connect without the root CA in the payload?</div><div><br></div><div>Rgds</div><div>Alex</div><div><br></div></div>