Коллеги всех приветствую, подскажите как правильнее создавать отзывы на сертификаты (crls файлы) для Strongswan?

Если например сгенерировать несколько сертификатов командой

ipsec pki –signcrl –cacert /etc/ipsec.d/cacerts/ca.pem –cakey /etc/ipsec.d/private/ca.pem –lifetime 1 –reason key-compromise –cert /etc/ipsec.d/certs/1.pem > /etc/ipsec.d/crls/1.crl

ipsec pki –signcrl –cacert /etc/ipsec.d/cacerts/ca.pem –cakey /etc/ipsec.d/private/ca.pem –lifetime 1 –reason key-compromise –cert /etc/ipsec.d/certs/2.pem > /etc/ipsec.d/crls/2.crl

то первый из них работает, а второй нет.

Для примера на двух разных клиентах пробовал, стоит удалить первый, начинает работать второй.

Что я не так делаю? или чтото нужно в конфиге поправить?

config setup

uniqueids=keep

charondebug=ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2

strictcrlpolicy=yes

cachecrls=yes

conn %default

type=tunnel

keyexchange=ikev2

ike=aes256-sha256-modp2048,aes128gcm16-sha2_256-prfsha256-ecp256!

esp=aes128gcm16-sha2_256-ecp256!

fragmentation=yes

forceencaps=yes

rekey=no

compress=no

dpdaction=clear

left=%any

leftauth=pubkey

leftsourceip=X.X.X.X

leftid=X.X.X.X

leftcert=server-key.pem

leftsendcert=always

leftsubnet=0.0.0.0/0

right=%any

rightauth=pubkey

rightsendcert=never

rightsourceip=10.101.0.0/16

rightdns=1.1.1.1,1.0.0.1

dpdaction=clear

dpddelay=900s

conn ikev2-pubkey

auto=add