<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> <meta name="Generator" content="Microsoft Word 14 (filtered medium)"> <style></style> </head> <body lang="ES-PY" link="blue" vlink="purple"> <div class="WordSection1"> Hi everybody. I’m testing ipa-server 2.1.3. I’m trying to create a Certificate for vsftpd.<o:p></o:p> <o:p> </o:p> I can successfully create the certificate with the following command:<o:p></o:p> <o:p> </o:p> # ipa cert-request --add --principal=FTP/ftp.linux.com.py ftp.csr<o:p></o:p> <o:p> </o:p> But I want to create certificates with subjectAltName DNS extensions, and it seems that is not possible through an openSSL CRS and dogtag.<o:p></o:p> <o:p> </o:p> So I deleted the service entry, then I created again using:<o:p></o:p> <o:p> </o:p> # ipa service-add FTP/ftp.linux.com.py<o:p></o:p> <o:p> </o:p> Then, I try to create the certificate using the following command:<o:p></o:p> <o:p> </o:p> # ipa-getcert request -k /etc/vsftpd/private/ftp.key -f /etc/vsftpd/certs/ftp.crt -N "cn=ftp.linux.com.py" -D "cn=le-303.linux.com.py" -D "cn=ftp" -D "cn=le-303" -K FTP/ftp.linux.com.py<o:p></o:p> <o:p> </o:p> But I have the following error:<o:p></o:p> <o:p> </o:p> Request ID '20120108062420':<o:p></o:p> status: CA_REJECTED<o:p></o:p> ca-error: Server denied our request, giving up: 2100 (RPC failed at server. Insufficient access: Insufficient 'write' privilege to the 'userCertificate' attribute of entry 'krbprincipalname=ftp/ftp.linux.com.py@linux.com.py,cn=services,cn=accounts,dc=linux,dc=com,dc=py'.).<o:p></o:p> stuck: yes<o:p></o:p> key pair storage: type=FILE,location='/etc/vsftpd/private/ftp.key'<o:p></o:p> certificate: type=FILE,location='/etc/vsftpd/certs/ftp.crt'<o:p></o:p> CA: IPA<o:p></o:p> issuer: <o:p></o:p> subject: <o:p></o:p> expires: unknown<o:p></o:p> track: yes<o:p></o:p> auto-renew: yes<o:p></o:p> <o:p> </o:p> It looks like there is a problem with an ACI, or admin principal is not having enough privileges.<o:p></o:p> <o:p> </o:p> ¿Anyone gime me some hints?<o:p></o:p> <o:p> </o:p> Thanks in advance.<o:p></o:p> <o:p> </o:p> </div> <hr> AVISO LEGAL: Esta información es privada y confidencial y está dirigida únicamente a su destinatario. Si usted no es el destinatario original de este mensaje y por este medio pudo acceder a dicha información por favor elimine el mensaje. La distribución o copia de este mensaje está estrictamente prohibida. Esta comunicación es sólo para propósitos de información y no debe ser considerada como propuesta, aceptación ni como una declaración de voluntad oficial de NUCLEO S.A. La transmisión de e-mails no garantiza que el correo electrónico sea seguro o libre de error. Por consiguiente, no manifestamos que esta información sea completa o precisa. Toda información está sujeta a alterarse sin previo aviso. This information is private and confidential and intended for the recipient only. If you are not the intended recipient of this message you are hereby notified that any review, dissemination, distribution or copying of this message is strictly prohibited. This communication is for information purposes only and shall not be regarded neither as a proposal, acceptance nor as a statement of will or official statement from NUCLEO S.A. . Email transmission cannot be guaranteed to be secure or error-free. Therefore, we do not represent that this information is complete or accurate and it should not be relied upon as such. All information is subject to change without notice. </body> </html>