<!DOCTYPE html>
<html>
<head>
<title></title>
<style type="text/css">p.MsoNormal,p.MsoNoSpacing{margin:0}</style>
</head>
<body><div>On Wed, Jan 30, 2019, at 9:29 PM, Mr. Jan Walter wrote:<br></div>
<blockquote type="cite"><div style="font-family:"Helvetica Neue", Helvetica, Arial, sans-serif;font-size:13px;"><div><br></div>
<div>Actually, the issue turned out to be that the "local id" in the OSX VPN config had to be the CN on the client certificate. Yeah, obvious, right?<br></div>
</div>
</blockquote><div><br></div>
<div>Sure, quite obvious given the detailed and clear error messages from OS X logs :)<br></div>
<div><br></div>
<div>To be fair, I think libreswan's debug logging for "failed cert validation" could use an improvement too --<br></div>
<div><br></div>
<div>-- instead of just "No matching subjectAltName found", it could log what it is (what name exactly) it was trying to match.<br></div>
<div><br></div>
<div>Looking at the code, it does for IPs, sort of, but not for DNS names and not if the cert has no subjectAltName at all...</div>
<div><br></div>
<div>-- K<br></div>
<div><br></div>
</body>
</html>