<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Since the commercial cert is outside IPA renewing that cert would not impact IPA at all. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On 2 July 2015 at 11:50, Prasun Gera <span dir="ltr"><<a href="mailto:prasun.gera@gmail.com" target="_blank">prasun.gera@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">How smooth is the renewal process ? if the webui cert expires, does it affect the core ipa functionality in any way ? Also, when ipa does it's own auto-renewal, does it leave the webui alone if set up this way ?</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jul 1, 2015 at 9:16 PM, Prashant Bapat <span dir="ltr"><<a href="mailto:prashant@apigee.com" target="_blank">prashant@apigee.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">I had the exact same requirement. Since we're on AWS, I ended up putting a ELB in front of each of my IPA servers with a commercial cert for web UI. The communication between ELB and the IPA server is using the IPA CA cert. </div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On 2 July 2015 at 07:03, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>Stephen Ingram wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I setup IPA using the internal CA. I'd like to continue using this CA,<br>
however, I'd also like to allow authorized external browser users (who<br>
haven't imported our CA) to access the WebUI without receiving a<br>
warning. Is it possible to add a 3rd party certificate and CA such that<br>
it is only used for the WebUI using the instructions at<br>
<a href="http://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP</a>?<br>
<br>
Steve<br>
<br>
<br>
</blockquote>
<br></div></div>
In a word: yes.<br>
<br>
I'd recommend making a backup of /etc/httpd/alias and /etc/httpd/conf.d/nss.conf  before doing this to make rolling back, if necessary, easier.<span><font color="#888888"><br>
<br>
rob<br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>
</div></div><br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>