X509 Net-to-Net

It's Hard to help you if you dont give more information like what are you using as your CA and did you verify each certificate to make sure that they work. Sometimes certificate creation fails for no reason. Whats you ipsec.conf file look like and whats ipsec.secrets say do the corispond. Is NAT-T working correctly? Mkae sure to formulate your question better.  

Simon has the solution!  I didn't think that you had to create 2 CA's because when you import the one cert into the other machine it creates a verification_CA which I though was good enough.  Guess not.  Thanks  

Yeah, I thought I'd only need one CA to get this working.  But no, it doesnt work unless a CA is on each ASL box.
(Played for ages before figuring this out).

This strikes me as a bit dumb as I'd prefer to have ONE central CA for easier/simpler admin.

Is there a reason why it's like this ?

Surely a better way would be to have one Master CA.
Then tell each "client" ASL box about the Master CA.

Issue certs from the Master CA for each "client"
Install em and away you go.

This is the way I tried first but it doesn't work.

Ended up doing as per above to get it running.
(It also strikes me as a little insecure running so many CA's.)
 

Hi apollo,

there is *no* need to have a separate CA on each of the machines. However, you have to be careful how you import the PKCS12 file(s).
In "Upload CERT or CSR", you have to fill in *all* of the fields, especially the "Key File" field.  Otherwise only the certificate is imported, not the secret key.
So, what you do is:
- Specify the (same) PKCS12 file in both "File" and "Key File" fields
- Enter "Key Pass", which is the passphrase needed to access the local key afterwards.

This should solve your problems. The remote CA certificate is automatically imported via the PKCS12 file.

Regards,
Stephan   

Hi apollo,

there is *no* need to have a separate CA on each of the machines. However, you have to be careful how you import the PKCS12 file(s).
In "Upload CERT or CSR", you have to fill in *all* of the fields, especially the "Key File" field.  Otherwise only the certificate is imported, not the secret key.
So, what you do is:
- Specify the (same) PKCS12 file in both "File" and "Key File" fields
- Enter "Key Pass", which is the passphrase needed to access the local key afterwards.

This should solve your problems. The remote CA certificate is automatically imported via the PKCS12 file.

Regards,
Stephan   

Ahhh... I see.  Thanks ! 

Hi

Do you have any further details

I have created a single CA  , create two host certs signed by the CA
On the local  firewall assign host cert (same name as firewall)as the Local X509 cert
The other cert  is name after the other firewall which is assigned to  remote X509 cert
(Same as VPN client)
EXport the other cert to other firewall (The same as you do for VPN client)
All great stuff.

But the remote firewall wants a local and remote Cert
(VPN Client needs only one ,as firewall know is a Roadwarrior)
The ipsec log go mad
 I need to investigate the logs to try an understand what the hell is going on

Any info would be great

Gary