auth-cfg: Matching one CA should be enough, similar to peer certificates
authorTobias Brunner <tobias@strongswan.org>
Mon, 3 Aug 2015 11:55:36 +0000 (13:55 +0200)
committerTobias Brunner <tobias@strongswan.org>
Mon, 17 Aug 2015 12:04:19 +0000 (14:04 +0200)
commit774c8c38471da95725e7dcad17fad6c7d1edb2ab
tree109ad3f8380f1869b8128762fd5c793ce49b66ab
parent9322e5b398efcf0a6f3bf576ef4b4b12b5ae6528
auth-cfg: Matching one CA should be enough, similar to peer certificates

Not sure if defining multiple CA constraints and enforcing _all_ of them,
i.e. the previous behavior, makes even sense.  To ensure a very specific
chain it should be enough to define the last intermediate CA.  On the
other hand, the ability to define multiple CAs could simplify configuration.

This can currently only be used with swanctl/VICI based configs as `rightca`
only takes a single DN.
src/libstrongswan/credentials/auth_cfg.c