<div dir="ltr">Thats what is  confusing, its the QuoVadis root CA which is one we use on a whole batch of servers and my osx machine validates those certs just fine. ... and I can see them ( root and intermediate)  in the system root keystore... but certainly if I remove it from the mobileconfig file I don't connect ,if I put it in there I do<div>A</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 11 January 2018 at 12:01, Noel Kuntze <span dir="ltr"><<a href="mailto:noel.kuntze+strongswan-users-ml@thermi.consulting" target="_blank">noel.kuntze+strongswan-users-ml@thermi.consulting</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
You only need to install a root certificate, if the issuer of your server certificate or its root certificate are not in the client's certificate store.<br>
A client needs to be able to verify the server's certificate from the root to the server certificate. That includes CRLs and OCSP.<br>
<br>
That's PKI 101.<br>
<br>
Kind regards<br>
<br>
Noel<br>
<span class=""><br>
On 10.01.2018 12:44, Alex Sharaz wrote:<br>
> Hi,<br>
> I've got a .mobileconfig file set up that will allow a macOS/iOS user to connect to my SSwan VPN server (5.6.1)<br>
> In it I have a cert payload defined containing both the intermediate and root cert of the server certificate. This all works just fine<br>
><br>
> However, our security people are objecting to the fact that I'm installing a root CA on the client device.<br>
><br>
> Server cert has an intermediate cet between it and the root CA<br>
><br>
> server config is<br>
><br>
> conn it-services-ikev2<br>
>   left=%any<br>
>   leftauth=pubkey<br>
>   leftcert=vpn.york.ac.uk.pem<br>
</span>>   leftid=@<a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a> <<a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">http://vpn.york.ac.uk</a>><br>
>   leftsendcert=always<br>
>   leftsubnet=<a href="http://0.0.0.0/0,::/0" rel="noreferrer" target="_blank">0.0.0.0/0,::/0</a> <<a href="http://0.0.0.0/0,::/0" rel="noreferrer" target="_blank">http://0.0.0.0/0,::/0</a>><br>
<div class="HOEnZb"><div class="h5">>   leftfirewall=yes<br>
>   right=%any<br>
>   rightauth=eap-radius<br>
>   rightsendcert=never<br>
>   rightgroups="Cserv"<br>
>   eap_identity=%any<br>
>   keyexchange=ikev2<br>
>   rightsourceip=%itservices<br>
>   fragmentation=yes<br>
>   auto=add<br>
><br>
><br>
> If I remove the root cert from the mobileconfig, connection fails. Should I be able to connect without the root CA in the payload?<br>
><br>
> Rgds<br>
> Alex<br>
><br>
<br>
</div></div></blockquote></div><br></div>