Коллеги всех приветствую, подскажите как правильнее создавать отзывы на сертификаты (crls файлы) для Strongswan?
Если например сгенерировать несколько сертификатов командой
ipsec pki –signcrl –cacert /etc/ipsec.d/cacerts/ca.pem –cakey /etc/ipsec.d/private/ca.pem –lifetime 1 –reason key-compromise –cert /etc/ipsec.d/certs/1.pem > /etc/ipsec.d/crls/1.crl
ipsec pki –signcrl –cacert /etc/ipsec.d/cacerts/ca.pem –cakey /etc/ipsec.d/private/ca.pem –lifetime 1 –reason key-compromise –cert /etc/ipsec.d/certs/2.pem > /etc/ipsec.d/crls/2.crl
то первый из них работает, а второй нет.
Для примера на двух разных клиентах пробовал, стоит удалить первый, начинает работать второй.
Что я не так делаю? или чтото нужно в конфиге поправить?
config setup
uniqueids=keep
charondebug=ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2
strictcrlpolicy=yes
cachecrls=yes
conn %default
type=tunnel
keyexchange=ikev2
ike=aes256-sha256-modp2048,aes128gcm16-sha2_256-prfsha256-ecp256!
esp=aes128gcm16-sha2_256-ecp256!
fragmentation=yes
forceencaps=yes
rekey=no
compress=no
dpdaction=clear
left=%any
leftauth=pubkey
leftsourceip=X.X.X.X
leftid=X.X.X.X
leftcert=server-key.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=pubkey
rightsendcert=never
rightsourceip=10.101.0.0/16
rightdns=1.1.1.1,1.0.0.1
dpdaction=clear
dpddelay=900s
conn ikev2-pubkey
auto=add