<div dir="ltr">Hi Tobias,<div><br></div><div>I'm referring to certification rotation when I say certificate thumbprint changed. In this case, the following are updated - certificate references in the ipsec.secrets and ipsec.conf files, new file containing the certificate itself in ipsec.d/private and ipsec.d/certs. We are retaining the same CN for the certificate, however the thumbprint, expiry and other properties change on the certificate.</div><div><br></div><div>As you clarified `ipsec update` or `ipsec reload` don't pick up the changes in ipsec.secrets and ipsec.d subfolders. Which command load/reloads the changes in ipsec.secrets and ipsec.d subfolders? Would this command terminate and re-establish the SA? And with the intent to avoid network disruption and since authentication only takes place when IKE SA is first established or re-negotiated, is there a way to make the new certificate effective only when the IKE SA is re-negotiated?</div><div><br></div><div>--karuna</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 16, 2020 at 2:32 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Karuna,<br>
<br>
> Would `ipsec update` also work when I update the cert thumbprint in<br>
> ipsec.secrets file?<br>
<br>
I'm not exactly sure what you are referring to with "cert thumbprint",<br>
but changed certificates are not detected by `update` unless the name<br>
has changed.  And ipsec.secrets and files in ipsec.d subfolders are<br>
(re-)loaded with separate commands, never with `update` or `reload`.<br>
<br>
> I'm assuming that until the IKE SA is re-negotiated the<br>
> existing IKE SA and child ESP SA will continue to work, correct?<br>
<br>
Since existing connections are not affected by config changes that's the<br>
case anyway.  However, e.g. as client if the SA is reauthenticated, and<br>
the certificate expired, for instance, the old certificate of the<br>
existing connection would be used.  So if the config is updated due to<br>
such a change, it's necessary to manually terminate and re-establish the SA.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>