<div dir="ltr">Obvious next question:  Any plans to implement that functionality or advice on how one might get some level of functionality for this?  Would it be possible to create another command-line based openssl CA that could issue these but using IPA as the root CA for those?<div><br></div><div>I'm just trying to provide a solution for situations where we would like to utilize client/user cert authentication for situations like secure apache directory access as well as user VPN certificates.  Any advise or ideas are great appreciated.</div><div><br></div><div>Thanks again!</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 5, 2015 at 4:09 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Christopher Young wrote:<br>
> Some of this might be rudimentary, so I apologize if this is answered<br>
> somewhere, though I've tried to search and have not had much luck...<br>
><br>
> Basically,  I would like to be able to issue user certificates (Subject:<br>
> email=sblblabla@blabla.local) in order to use client SSL security on<br>
> some things.  I'm very new to FreeIPA, but have worked with external CAs<br>
> in the past for similar requests, however this is my first entry into<br>
> creating/running a localized CA within an organization.<br>
<br>
</span>IPA doesn't issue user certificates yet, only server certificates.<br>
<span class=""><br>
> I was wondering if this is possible via the command line, and if so, how<br>
> to go about submitting the request and receiving the certificate.  Any<br>
> guidance or assistance would be greatly appreciated!<br>
><br>
><br>
> Additionally, just as a matter of cleanliness, is there any way possible<br>
> to just completely wipe out the existence of a certificate/request from<br>
> FreeIPA.  I have done some trial-and-error and obviously have made<br>
> mistakes that I'd prefer to clean up after.  I've revoked those certs,<br>
> however the perfectionist in me hates seeing them there.  I'm quite<br>
> certain the answer is 'no', but I thought I would ask anyway.<br>
<br>
</span>Right, the answer is no. In fact it is a good thing that all<br>
certificates are accounted for.<br>
<span class="HOEnZb"><font color="#888888"><br>
rob<br>
<br>
</font></span></blockquote></div><br></div>