<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 17 Sep 2020 at 12:42, Antony Antony <<a href="mailto:antony@phenome.org">antony@phenome.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Wed, Sep 16, 2020 at 10:35:07PM -0400, Andrew Cagney wrote:<br>
> First, I believe ikev2-03-basic-rawrsa-ckaid is fixed.  It uses the CKAID to<br>
> directly locate the raw key in the NSS DB.  To confirm it is working, look in<br>
> west.pluto.log for "CKAID".<br>
<br>
add an empty file ipsec.secrets in the test directory.<br>
or rm /etc/ipsec.secrets explictly in the initscripts.<br>
<br>
also add  "cat /etc/ipsec.secrets" in the *tinit.sh as saftey check.<br>
<br>
We have been back and forth fixed and wip on this issue many times, may be <br>
due the confusion ipsec.secrets is copied from <br>
baseconfig/<hostname>/etc/ipsec.secrets. To avoid have an empty file in the <br>
test directory.<br></blockquote><div><br></div><div>Right.  The ckaid test:</div><div>- deletes ipsec.secrets</div><div>- provides the rsasigkey for east</div><div>- and the ckaid for west's raw key<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> The use case for this test is pretty easy:<br>
> - generate the raw key<br>
> - use certutil to find the ckaid<br>
> - add ...ckaid= to the config file<br>
> (how does the other end get the pubkey?)<br>
> <br>
> So what's the use case for basic-pluto-01-nosecrets?  Why would an end use this<br>
> when they can specify the raw key using the ckaid?  And what sequence of<br>
> commands would be used to configure it?<br>
> <br>
> For what it is worth, the fix means either a double lookup at "up" time:<br>
> -> using @west find the raw rsapubkey<br>
> -> using the raw rsapubkey's ckaid find the raw private key in the NSS DB<br>
> or, like basic-pluto-01, an attempt to load the raw key during "add" time<br>
> <br>
<br>
> _______________________________________________<br>
> Swan-dev mailing list<br>
> <a href="mailto:Swan-dev@lists.libreswan.org" target="_blank">Swan-dev@lists.libreswan.org</a><br>
> <a href="https://lists.libreswan.org/mailman/listinfo/swan-dev" rel="noreferrer" target="_blank">https://lists.libreswan.org/mailman/listinfo/swan-dev</a><br>
<br>
</blockquote></div></div>