在HOSTLOC论坛上看到有人在更新StrongSwan证书后,在WIN7环境下出现13801的,其他环境都是正常的。

大概问了一下情况就是Comodo的证书业务被收购了,新证书是Sectigo公司签发的。看了一下新证书的CA文件,里面包含的3个CA文件,是一个完整CA链;

在一键安装包的issues那里找到了相应的说明,但是没有说的非常详细,只是说需要将CA文件拆分成独立的文件,由于在/etc/ipsec.d/cacerts目录下默认的CA文件只有一个,开始的想法就是从CA证书链文件中拆分一个出来,但是一直没有成功,后来将证书链中的3个CA都独立建立证书文件后一切都正常了,文件名也没有任何限制,不是必须的ca.cert.pem,可以按照域名来命名,只要结尾是PEM就可以了。

通过这次分析,发现证书服务商给收购或者更新了证书链的文件,在StrongSWan下需要将整个证书链文件都要放进去,以保证证书链的完整,避免出现老系统不能识别到新的证书。