<div dir="ltr">Would anyone happen to have any guides on how one could get through this process?  I'm a one-man IT shop at the moment, so I'm building up a tremendous amount of infrastructure at once.  I'm thinking that the option of creating a subCA with something simple like openssl would be the best option, but figuring out that process in a minimal amount of time is going to be tough.<div><br></div><div>I'm going to try and give myself some reading assignments and push that forward, but if anyone happens to have a good handle on that process/commands/etc. and would be interesting in double a couple of hours of consulting to me, I would be very interested in listening provided we could come up with a reasonable rate/timeframe.  If anyone is interested, please contact me directly off-list.</div><div><br></div><div>Thanks again.  These answers/ideas have been most helpful.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 6, 2015 at 9:30 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02/06/2015 12:53 AM, Christopher Young wrote:<br>
> Obvious next question:  Any plans to implement that functionality or advice<br>
> on how one might get some level of functionality for this?  Would it be<br>
> possible to create another command-line based openssl CA that could issue<br>
> these but using IPA as the root CA for those?<br>
<br>
</span>As for FreeIPA plans, we plan to vastly improve our flexibility to process<br>
certificates in next upstream version - FreeIPA 4.2. In next version, one<br>
should be able to create other certificate profiles (from FreeIPA default<br>
service cert profile) or even subCAs to do what you want.<br>
<br>
As for current workarounds, you would have to issue and sign a for example NSS<br>
or openssl based subCA and then sign user certs there. But I would leave Fraser<br>
or Jan to tell if this would be really possible.<br>
<div class="HOEnZb"><div class="h5"><br>
> I'm just trying to provide a solution for situations where we would like to<br>
> utilize client/user cert authentication for situations like secure apache<br>
> directory access as well as user VPN certificates.  Any advise or ideas are<br>
> great appreciated.<br>
><br>
> Thanks again!<br>
><br>
> On Thu, Feb 5, 2015 at 4:09 PM, Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>> wrote:<br>
><br>
>> Christopher Young wrote:<br>
>>> Some of this might be rudimentary, so I apologize if this is answered<br>
>>> somewhere, though I've tried to search and have not had much luck...<br>
>>><br>
>>> Basically,  I would like to be able to issue user certificates (Subject:<br>
>>> email=sblblabla@blabla.local) in order to use client SSL security on<br>
>>> some things.  I'm very new to FreeIPA, but have worked with external CAs<br>
>>> in the past for similar requests, however this is my first entry into<br>
>>> creating/running a localized CA within an organization.<br>
>><br>
>> IPA doesn't issue user certificates yet, only server certificates.<br>
>><br>
>>> I was wondering if this is possible via the command line, and if so, how<br>
>>> to go about submitting the request and receiving the certificate.  Any<br>
>>> guidance or assistance would be greatly appreciated!<br>
>>><br>
>>><br>
>>> Additionally, just as a matter of cleanliness, is there any way possible<br>
>>> to just completely wipe out the existence of a certificate/request from<br>
>>> FreeIPA.  I have done some trial-and-error and obviously have made<br>
>>> mistakes that I'd prefer to clean up after.  I've revoked those certs,<br>
>>> however the perfectionist in me hates seeing them there.  I'm quite<br>
>>> certain the answer is 'no', but I thought I would ask anyway.<br>
>><br>
>> Right, the answer is no. In fact it is a good thing that all<br>
>> certificates are accounted for.<br>
>><br>
>> rob<br>
>><br>
>><br>
><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>