<div dir="ltr">hi,<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 18, 2014 at 9:05 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Natxo Asenjo wrote:<br>
> hi,<br>
><br>
> On Thu, Sep 18, 2014 at 4:43 PM, Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a><br>
</span><span class="">> <mailto:<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>>> wrote:<br>
><br>
><br>
>     Yes, you don't need to obtain a machine certificate. In fact we have<br>
>     stopped doing this upstream.<br>
><br>
><br>
> Do you mean ipa will not have a CA in the future? Or will it be<br>
> optional? Or am I misunderstanding this :-) ? I quite like the CA stuff<br>
> in ipa, actually.<br>
><br>
<br>
</span>No, don't worry, the CA isn't going anywhere :-)<br>
<br>
On the client right now we retrieve a certificate for host identity and<br>
store it in /etc/pki/nssdb. We did this for future proofing and here we<br>
are, pretty far in the future, and we've never used it. So we decided to<br>
stop generating it.<br>
<br>
If on the off chance it turns out we're wrong and someone has actually<br>
found a use for that certificate it can be quite easily generated using<br>
ipa-getcert after the client is enrolled.<br>
<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br></div><div>ok. I was thinking on starting a pilot with dot1.x and hosts certificates are usually used for this, so it would be nice  to have a cli switch during enrollment.<br><br>-- <br></div><div>groet,<br>natxo<br></div></div><br><br clear="all"><br>-- <br>--<br>Groeten,<br>natxo
</div></div></div>