<div dir="ltr">First, I believe ikev2-03-basic-rawrsa-ckaid is fixed.  It uses the CKAID to directly locate the raw key in the NSS DB.  To confirm it is working, look in west.pluto.log for "CKAID".<div>The use case for this test is pretty easy:<div>- generate the raw key</div><div>- use certutil to find the ckaid</div><div>- add ...ckaid= to the config file</div><div>(how does the other end get the pubkey?)<br><div><br></div><div>So what's the use case for basic-pluto-01-nosecrets?  Why would an end use this when they can specify the raw key using the ckaid?  And what sequence of commands would be used to configure it?</div><div><br></div><div>For what it is worth, the fix means either a double lookup at "up" time:</div><div>-> using @west find the raw rsapubkey</div><div>-> using the raw rsapubkey's ckaid find the raw private key in the NSS DB</div><div>or, like basic-pluto-01, an attempt to load the raw key during "add" time<br></div></div></div><div><br></div></div>