<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">I had the exact same requirement. Since we're on AWS, I ended up putting a ELB in front of each of my IPA servers with a commercial cert for web UI. The communication between ELB and the IPA server is using the IPA CA cert. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On 2 July 2015 at 07:03, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Stephen Ingram wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I setup IPA using the internal CA. I'd like to continue using this CA,<br>
however, I'd also like to allow authorized external browser users (who<br>
haven't imported our CA) to access the WebUI without receiving a<br>
warning. Is it possible to add a 3rd party certificate and CA such that<br>
it is only used for the WebUI using the instructions at<br>
<a href="http://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP</a>?<br>
<br>
Steve<br>
<br>
<br>
</blockquote>
<br></div></div>
In a word: yes.<br>
<br>
I'd recommend making a backup of /etc/httpd/alias and /etc/httpd/conf.d/nss.conf  before doing this to make rolling back, if necessary, easier.<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>