<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi,<div><br></div><div>I am trying to create a test setup that will simulate a windows 10 client connecting using eap-identity and certs. I am hitting an error that I cannot figure out after running down the usual suspects. The same certs used on a windows client works. I have copied my config below, and also the error seen. I am hoping someone can point me in the right direction.</div><div><br></div><div>Responder config:<br></div><div><div>conn eapvpn</div><div>        leftauth=pubkey</div><div>        keyexchange=ikev2<br></div><div>        eap_identity=%any <br></div><div>        left=a.b.c.d</div><div>        leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a></div><div>        leftcert=servercrt.pem</div><div>        leftsendcert=always</div><div>        right=%any</div><div>        rightsourceip=<ippool></div><div>        rightauth=eap-tls</div><div>        rightsendcert=never</div><div>        auto=add<br></div><div><br class="gmail-Apple-interchange-newline"></div></div><div>Initiator config:</div><div>conn eap-rw</div><div><div>        leftauth=eap-tls<br></div><div>        rightauth=pubkey</div><div>        keyexchange=ikev2</div><div>        rightid=%any</div><div>        leftcert=clientcrt.pem</div><div>        right=a.b.c.d</div><div>        leftsourceip=%config<br></div><div>        leftfirewall=yes</div><div>        rightsubnet=<a href="http://0.0.0.0/0[icmp]">0.0.0.0/0[icmp]</a><br></div></div><div><div>        eap_identity="test-client"</div><div>        auto=add</div><div><br></div><div>The error I see on the responder is </div><div><div><i>signature verification failed, trying another key</i></div><div><i>no trusted certificate found for 'test-client' to verify TLS peer</i></div></div><div><br></div><div>I have checked the following:<br></div><div>1. ca cert present on both sides in the cacert directory. They show up in "ipsec stroke listcacerts" output on both sides.</div><div>2. client cert has proper key. The output of "ipsec stroke listcerts" shows that the client crt has a private key. The private key is listed in the ipsec.secrets file.</div><div>3. The eap-identity appears in the DNS of the client cert.</div><div><br></div><div>I am using strongswan-5.1.2 . I must have messed up some config, but I can't figure out what. I checked the certs and keys. What am I missing?</div><div><br></div><div>thanx in advance,</div><div>sk</div><div><br></div></div></div></div></div></div>