<div dir="ltr"><div><div><div><div><div><div><div>Hi Paul,<br><br></div>Welp, I got to playing around with the old certs that were working, and I somehow broke them.  Then I went back through everything and noticed I had to change the trust bits.<br><br></div>So these trust bits work:<br><br></div>"CT,,"<br><br></div>These also work:<br><br></div>"CTu,CTu,CTu"<br><br></div><div>But of course if I manually set trust bits to ",," on the CA then the tunnel breaks.<br></div><div><br></div>And I can't recall where I found the documentation for these, but I had read it at some point.  But the NEW certs import properly in the first place, so there is not a need (I thought) to set any trust bits (the new ones look like "CT,," so I left it alone).<br><br></div><div>One other funny thing is that even though the tunnel works using the old certs with the proper trust bits, when I do a "ipsec auto --listall" each server still only shows its own cert in that top list for "List of RSA Public Keys".  But the tunnel comes up.  There was an old thread on this list where I thought it was implied that both certs need to show up in that top list, but I could be wrong about that.<br></div><div><br></div>I'm going to revert back to using the new certs and turn on the x509 debugging and respond again with how it goes.<br><div><br></div><div>V/r,<br></div><div>Bryan<br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 23, 2016 at 12:26 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, 23 Sep 2016, Bryan Harris wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
And I notice when I go back to my old certs that were working, I can see the RSA public key in the ipsec auto --listall output.  I<br>
wonder, if anyone knows, why does the cert not come across the line when I'm using the new configuration?  If I look at the logs, I<br>
see that it doesn't work, but I don't understand why.<br>
</blockquote>
<br></span>
you can try running with plutodebug=x509 enabled<br>
(or run ipsec whack --debug-x509 before trying to<br>
bring up the connection)<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br></div>