<div dir="ltr">Hi Tobias,<div><br></div><div>Thank you for your reply.</div><div><br></div><div>Rightca does not work either. If I use rightca, the authentication seems to fail always, even though the certificate hierarchy is correct. </div><div>Rightca works when I dont use eap-tls. The constraint is correctly enforced.</div><div><br></div><div>-sk</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 6, 2019 at 5:10 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
> Is<br>
> righhtca2 supposed to work with eap-tls and eap-identity connections?<br>
<br>
rightca2 is for a second authentication round.  Which is not what<br>
happens with EAP-TLS (unless you actually use it in a second round after<br>
e.g. a regular pubkey authentication).  So maybe try rightca instead.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>