<div dir="ltr"><div><div>I finally got this to work.<br><br></div>I managed to get an error message that told me it couldn't check the revocation of the certificates against a crl.<br></div>I tried to find out how to tell java where to find that crl but I these discovered these options instead to tell java to not check a crl.<br>
<div>-Dcom.sun.net.ssl.checkRevocation=false<br>-Dcom.sun.security.enableCRLDP=false<br><br><div><div><br>On 26 April 2013 18:30, Petr Viktorin <span dir="ltr"><<a href="mailto:pviktori@redhat.com" target="_blank">pviktori@redhat.com</a>></span> wrote:<br>
<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Hello,<div><br>
<br>
On 04/26/2013 07:22 AM, Peter Brown wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Hi everyone.<br>
<br>
I am attempting to get Google Apps to sync with FreeIPA and I am having<br>
problems getting the sync utility to talk to freeipa.<br>
It complains about the ssl cert.<br>
I have it setup so it only accepts ssl or tls encrypted connections and<br>
I don't want to turn that off.<br>
I have imported the ca cert using the jre's keytool but it still refuses<br>
to connect.<br>
I am getting the impression I need to import the ssl cert for the ldap<br>
server into it as well.<br>
</blockquote>
<br></div>
The CA cert (/etc/ipa/ca.crt) should be enough, it signs all the other certs. Make sure you import it with the right trust level (SSL certificate signing). Unfortunately I don't know about jre's keytool so I can't be more specific.</blockquote>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I have no idea which certificate that is and I have no idea how to<br>
export it.<br>
</blockquote>
<br></div>
Do not do this. You should only explicitly trust the CA cert.<br>
For example, if you trust the certs explicitly you'd have to re-import them one by one when they are renewed.<div><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Can someone please tell me how to do this?<br>
</blockquote>
<br></div>
If you really want to:<br>
There are two certs, one for httpd (Web UI, XMLRPC & JSON APIs), and one for the LDAP server.<br>
To export the httpd server certificate (to PEM):<br>
$ certutil -L -d /etc/httpd/alias -n Server-Cert -a<br>
To export the directory server certificate (to PEM):<br>
$ certutil -L -d /etc/dirsrv/slapd-$INSTANCE_<u></u>NAME/ -n Server-Cert -a<br>
But again, you don't need this for what you're trying to do.<span><font color="#888888"><br>
<br>
-- <br>
Petrł<br>
<br>
</font></span></blockquote></div><br></div></div></div></div></div>