<div dir="ltr"><div>Hi Haitao</div><div><br></div><div>"authorization rejected" can be caused by many reasons. The router cannot tell you the exact cause due to security reason. The router should write the cause into its logs but that is not yet implemented.</div><div><br></div><div>Given you have tried an equivalent certificate with NFD-RIB, I assume certificate issuance and trust schema configuration have no problem. You can look at the following possible causes:</div><ul><li>Is the Java code creating well-formed command Interests? Is the KeyLocator correct?</li><li>Can the router retrieve your certificate?<br></li><li>Is the Java code creating valid signatures?</li><li>Is the clock skew between router and end host too great?<br>NFD-RIB is very sensitive to clock skew and would reject if the time difference is more than 3 seconds. It's also not configurable, but v2 relaxed this to 60 seconds.</li></ul><div>If you have access to the router, setting "Forwarder DEBUG" loglevel can help you debug.<br></div><div><br></div><div>Yours, Junxiao<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 10, 2017 at 1:02 PM, Haitao Zhang <span dir="ltr"><<a href="mailto:zhtaoxiang@gmail.com" target="_blank">zhtaoxiang@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div><br></div><div><div style="font-size:12.8px">My NDNFit Android app needs to do remote prefix registration on the testbed, so Interests can be forwarded to the Android device, then the NDNFit Android app. </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">(2) Create an interest <span style="color:rgb(0,128,0);font-family:Menlo;font-size:9pt;font-weight:bold">/localhop/nfd/rib/reg<wbr>ister/<control parameter including the prefix I want to register></span>, sign it using </div><span style="font-size:12.8px">/org/openmhealth/KEY/</span><span style="font-size:12.8px">uLsLn5csb<wbr>B/ksk-1502352233531/</span><span style="font-size:12.8px">ID-CERT/%<wbr>FD%00%00%01%5D%CB+%</span><span style="font-size:12.8px">E5S</span><br style="font-size:12.8px"><span style="font-size:12.8px">which is further signed by </span><br style="font-size:12.8px"><span style="font-size:12.8px">NDNFit trust anchor /org/openmhealth/KEY/ksk-</span><span style="font-size:12.8px">14902<wbr>31565751/ID-CERT/%FD%00%</span><span style="font-size:12.8px">00%<wbr>01Z%F8%B9%1Et</span><br style="font-size:12.8px"><div style="font-size:12.8px"><span style="color:rgb(38,50,56);font-size:13px"><br></span></div><div style="font-size:12.8px"><div style="font-size:12.8px"><span style="color:rgb(38,50,56);font-size:13px">(4) I got an data packet containing a message "</span><font color="#263238">authorization rejected</font><span style="color:rgb(38,50,56);font-size:13px">".</span></div></div><br clear="all" style="font-size:12.8px"><div style="font-size:12.8px"><div class="gmail-m_1052988172326031163gmail-m_-4688405733903218696gmail_signature"><div dir="ltr"><div>Best,<br></div>-Haitao</div><div dir="ltr"> </div></div></div></div></div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div dir="ltr"><div><div style="font-size:12.8px"><div class="gmail-m_1052988172326031163gmail-m_-4688405733903218696gmail_signature"><div dir="ltr"></div><div dir="ltr"><br></div><div><b>To verify that the configuration works, John requested a key from NDNFit cert management website <a href="http://128.97.98.8:5001/" target="_blank">http://128.97.98.8:500<wbr>1/</a> (it is ported from ndncert website and works the same way as ndncert website) and did the following (quote his email here):</b></div><div><div style="font-size:12.8px">... I was able to register a prefix and have it propagate on the Testbed with readvertise.<br></div></div></div></div></div></div>
<br></blockquote></div><br></div></div>