<div dir="ltr">On Fri, Jan 2, 2015 at 10:02 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Stephen Ingram wrote:<br>
> On Mon, Dec 15, 2014 at 6:40 PM, Stephen Ingram <<a href="mailto:sbingram@gmail.com">sbingram@gmail.com</a><br>
</span><div><div class="h5">> <mailto:<a href="mailto:sbingram@gmail.com">sbingram@gmail.com</a>>> wrote:<br>
><br>
>     I have one client using a certificate issued by a third party<br>
>     provider such that any secure (TLS) LDAP queries are refused since<br>
>     the certificates were not issued by IPA. Since there are only a few<br>
>     clients with foreign certificates, can the CA simply be added to the<br>
>     NSS database used by the 389 directory server so IPA will establish<br>
>     a secure connection with them?<br>
><br>
><br>
> I should have added, "or do I have to somehow add the certificate to the<br>
> IPA directory?"<br>
<br>
</div></div>Need a little more context here. IPA doesn't use SSL client<br>
authentication so it shouldn't be an issue. Can you provide more details<br>
on what the client side is doing and what errors you are seeing?</blockquote><div><br></div><div>Thanks Rob. I imported the CA into both the httpd and ldap NSS databases and it works. Interestingly, I'm currently using version 3.0 of IPA which still has the split directories. The CA imported properly into the main IPA directory, but would not import into the PKI directory without errors on restart. As I only really needed it in the main directory, I'm OK for now, however, I'm wondering if this will be a problem when we move to version 3.3 and the two directories are combined.</div><div><br></div><div>Steve</div></div></div></div>