<div dir="ltr">Thank you David, I'll check it out.<br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-03-12 12:36 GMT+01:00 David Kupka <span dir="ltr"><<a href="mailto:dkupka@redhat.com" target="_blank">dkupka@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 03/12/2015 10:37 AM, crony wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi FreeIPA Users,<br>
I have a fresh new FreeIPA 4.1 on RHEL7.1 with self-sign CA and I would<br>
like to change the self-sign CA to the external CA<br>
<br>
Do you have any step by step document for do it correctly on 4.1 version?<br>
<br>
/lm<br>
<br>
<br>
<br>
</blockquote>
<br></div></div>
Hello!<br>
<br>
I'm not aware of this being documented but fortunately this can be done in 3 easy steps:<br>
<br>
1. # ipa-cacert-manage renew --external-ca<br>
2. Let CA of your choice sing the CRL produced in step 1.<br>
3. # ipa-cacert-manage renew --external-cert-file=/path/to/<u></u>signed_certificate --external-cert-file=/path/to/<u></u>external_ca_certificate<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
David Kupka<br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature">Pozdrawiam Leszek Miś<br>www: <a href="http://cronylab.pl" target="_blank">http://cronylab.pl</a><br>www: <a href="http://emerge.pl" target="_blank">http://emerge.pl</a><br>Nothing is secure, paranoia is your friend.</div>
</div>