Сертификаты выпущены доменным корневым СА на W2K3...

и CRL откючал - пофиг, валится стабильно! Но...почитал ветку - похоже поддержка сертификатов в длинке пока не работает.....

Таки я разобрался. Более менее. VPN на сертификатах не работал потому, что у центрального узла (DFL-800) сертификат оказался отозван Однако я точно знаю что его обновлял.

Итогом моих мучений явился выпуск нового сертификата и аплоад его поверх старого. Результата ноль. Т.е. старый сертификат кешировался и наотрез отказывался заменяться на новый залитый, ikesnoop -on -verbose подтвердит мои слова.

Пришлось применить лечение огнем. Старый сертификат был с концами удален. Был создан новый сертификат и залит в него новый x.509 сертификат с ключом. Затем его прописал в VPN'ах и всё забегало.

То что сертификатах отозван четко и недвусмысленно сказала лишь DFL200. Более новые железки ограничивались лишь расплывчатыми отмазками (камень в огород разработчиков)

Правда осталась ещё одна проблема один DFL-210 по-прежнему упорно отказывается на сертификатах. Но там видимо причина в другом. Руки до него не дошли ещё.