我前些天发帖说 NetworkManager 的 IKEv2 老是搞不定，结果折腾下来，发现问题居然如此简单，就是日志中那句我曾经以为是可以忽略的话： opening directory '/usr/share/ca-certificates' failed: No such file or directory 我以为当它发现找不到这个目录时，它会自己去找系统自带的证书的，或者联网检索，但我还是太天真了，这玩意居然真的就只认这个目录下的 CA，当然，你也可以在 NM 配置文件中指定其它路径。

我就想，为嘛 linux 不像 Windows 或 Android 那样，搞一个集中式的证书系统呢？那样的话，各种浏览器、NM、ipsec 等等各种与 CA 打交道的软件，都可以统一通过它来读取了，反正 systemd 中已经搞了这么多服务，不多这一个了。。。

fedora 系在 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

Linux 发行版 统一 这几个字能连起来再说其他问题。

openssl 和 nss 之间还不知道得打架打多少年呢。歇歇吧

没必要统一。同一个发行版的源里安装的包应该就是配置好的

嗯，这是系统默认安装的 ca-certificates 包中的，貌似是 Mozilla 的，但不齐全，很多 vpn 所需的服务器证书都没有。

配置好的？用起来就知道坑很多了，我用的这个 Fedora，nm-strongswan 默认需要 /usr/share/ca-certificates，但默认安装后的系统居然并没有这个目录。

你是从源里安装的吗？可以提 bug 在 https://bugzilla.redhat.com 或者联系 packager 修复

嗯，直接 dnf 安装的。可惜我英文写作水平太次，无法清楚表达自己的意思，要不你帮忙提交一下？这个应该是 strongswan 和 nm-strongswan 这几个包的打包者负责的，编译时默认路径是可以指定的。
不过，我估计他也不好做抉择，因为系统可以放 ca 证书的路径有好多，/etc/ipsec.d、/etc/strongswan/ipsec.d/cacerts、/etc/pki 等等，看上去都各行其是。

统一？我看不爽你的配置，我就开新分支