第三方购买的证书的配置问题

[nxtreaming]

我第三方购买的ssl证书可以在我的网站上使用（https),但此证书没法用在一键安装脚本里面, 会导致win7连接ipsecs时提示 Error 13801：IKE authentication错误
我怀疑是证书配置有问题，请问会是什么原因？

ca.cert.pem 证书颁发机构的CA，比如Let‘s Encrypt的证书,或者其他链证书；---->这个是证书签发机构的 the intermediate certificate 吗？
server.cert.pem 签发的域名证书；--->这个是我购买的SSL证书（已经可以成功用在https)？
server.pem 签发域名证书时用的私钥；---->这个是我的私钥？

谢谢！

[nxtreaming]

经过检查 是由于我的证书机构Root CA 和中间颁发机构的CA放在一个pem文件中了，导致没法被Win7 客户端 识别， 我把他们拆成独立文件就行了。

解决方法参见如下连接：
http://serverfault.com/questions/536092/strongswan-ikev2-windows-7-agile-vpn-what-is-causing-error-13801

I had an identical problem and solved it by ensuring I had the certificate chain in the certificate file (end-entity cert, intermediate CA, root CA - in that order). TLS is fun.
After restarting strongSwan, this stopped working, but started working again when I dropped the intermediate and root CA into /etc/ipsec.d/cacerts.

[quericy]

@nxtreaming 是的,只需要证书颁发机构的证书即可.根证书CA已经是各种客户端内置信任的了

[nxtreaming]

@nxtreaming 是的,只需要证书颁发机构的证书即可.根证书CA已经是各种客户端内置信任的了

明白了。
我遇到的问题是颁发机构和根证书都在一个pem文件中，必须把它们分开才可以，否则windows下连不上。