<div dir="ltr">Sorted, in the .mobileconfig I had Server Certificate Issuer Common name set to the root ca name. Removed that config, deletes the root ca and it worked<div><br></div><div>BTW had the root/intermed certs in cacerts</div><div><br></div><div>Rgds</div><div>Alex</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 11 January 2018 at 12:17, Noel Kuntze <span dir="ltr"><<a href="mailto:noel.kuntze+strongswan-users-ml@thermi.consulting" target="_blank">noel.kuntze+strongswan-users-ml@thermi.consulting</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Put the root CA and the intermediate CAs into /etc/ipsec.d/cacerts, then run `ipsec stroke rereadcacerts` and then retry.<br>
If that does not help, check the logs of iOS. You can get access to them via Apple's SDK.<br>
<span class=""><br>
On 11.01.2018 13:13, Alex Sharaz wrote:<br>
> Thats what is  confusing, its the QuoVadis root CA which is one we use on a whole batch of servers and my osx machine validates those certs just fine. ... and I can see them ( root and intermediate)  in the system root keystore... but certainly if I remove it from the mobileconfig file I don't connect ,if I put it in there I do<br>
> A<br>
><br>
</span><span class="">> On 11 January 2018 at 12:01, Noel Kuntze <noel.kuntze+strongswan-users-<wbr>ml@thermi.consulting <mailto:<a href="mailto:noel.kuntze%2Bstrongswan-users-ml@thermi.consulting">noel.kuntze+<wbr>strongswan-users-ml@thermi.<wbr>consulting</a>>> wrote:<br>
><br>
>     Hi,<br>
><br>
>     You only need to install a root certificate, if the issuer of your server certificate or its root certificate are not in the client's certificate store.<br>
>     A client needs to be able to verify the server's certificate from the root to the server certificate. That includes CRLs and OCSP.<br>
><br>
>     That's PKI 101.<br>
><br>
>     Kind regards<br>
><br>
>     Noel<br>
><br>
>     On 10.01.2018 12:44, Alex Sharaz wrote:<br>
>     > Hi,<br>
>     > I've got a .mobileconfig file set up that will allow a macOS/iOS user to connect to my SSwan VPN server (5.6.1)<br>
>     > In it I have a cert payload defined containing both the intermediate and root cert of the server certificate. This all works just fine<br>
>     ><br>
>     > However, our security people are objecting to the fact that I'm installing a root CA on the client device.<br>
>     ><br>
>     > Server cert has an intermediate cet between it and the root CA<br>
>     ><br>
>     > server config is<br>
>     ><br>
>     > conn it-services-ikev2<br>
>     >   left=%any<br>
>     >   leftauth=pubkey<br>
>     >   leftcert=vpn.york.ac.uk.pem<br>
</span>>     >   leftid=@<a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a> <<a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">http://vpn.york.ac.uk</a>> <<a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">http://vpn.york.ac.uk</a>><br>
>     >   leftsendcert=always<br>
>     >   leftsubnet=<a href="http://0.0.0.0/0,::/0" rel="noreferrer" target="_blank">0.0.0.0/0,::/0</a> <<a href="http://0.0.0.0/0,::/0" rel="noreferrer" target="_blank">http://0.0.0.0/0,::/0</a>> <<a href="http://0.0.0.0/0,::/0" rel="noreferrer" target="_blank">http://0.0.0.0/0,::/0</a>><br>
<div class="HOEnZb"><div class="h5">>     >   leftfirewall=yes<br>
>     >   right=%any<br>
>     >   rightauth=eap-radius<br>
>     >   rightsendcert=never<br>
>     >   rightgroups="Cserv"<br>
>     >   eap_identity=%any<br>
>     >   keyexchange=ikev2<br>
>     >   rightsourceip=%itservices<br>
>     >   fragmentation=yes<br>
>     >   auto=add<br>
>     ><br>
>     ><br>
>     > If I remove the root cert from the mobileconfig, connection fails. Should I be able to connect without the root CA in the payload?<br>
>     ><br>
>     > Rgds<br>
>     > Alex<br>
>     ><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>