android: Always send the client certificate
authorTobias Brunner <tobias@strongswan.org>
Thu, 8 Feb 2018 11:15:36 +0000 (12:15 +0100)
committerTobias Brunner <tobias@strongswan.org>
Thu, 8 Feb 2018 11:15:36 +0000 (12:15 +0100)
In scenarios where the server accepts client certificates from dozens or
even hundreds of CAs it might be necessary to omit certificate request
payloads from the IKE_SA_INIT response to avoid fragmentation.

As it is rarely the case in road-warrior scenarios that the server
already has the client certificate installed it should not be a problem
to always send it.

src/frontends/android/app/src/main/jni/libandroidbridge/backend/android_service.c

index 986854c..d41aa2f 100644 (file)
@@ -739,7 +739,7 @@ static job_requeue_t initiate(private_android_service_t *this)
        ike_sa_t *ike_sa;
        auth_cfg_t *auth;
        peer_cfg_create_t peer = {
-               .cert_policy = CERT_SEND_IF_ASKED,
+               .cert_policy = CERT_ALWAYS_SEND,
                .unique = UNIQUE_REPLACE,
                .rekey_time = 36000, /* 10h */
                .jitter_time = 600, /* 10min */