<div dir="ltr">Hi,<div><br></div><div>I'm not sure I understood all of your problem, but here are some information that may help:</div><div>- First, you don't change a certificate, but you can revoke it a make a new one </div><div>- If you need to add a SubjectAltName to a certificate, you may have realized that the -D parameter makes the request to get rejected by FreeIPA when you try this:</div><div><br></div><div><div>ipa-getcert request -d $NSSPATH -n $CERTNAME -p $PWDFILE -N "CN=$FQDN,O=$DOMAIN" -D "$CNAME" -K $PRINCIPAL</div></div><div><br></div><div>You have to force FreeIPA to recognise the CNAME first.</div><div><br></div><div><div>$ ipa host-add cname.domain --force</div><div>$ ipa service-add service/fqdn</div><div>$ ipa service-add service/cname.domain --force</div><div>$ ipa service-add-host service/cname.domain --host fqdn</div></div><div><br></div><div>Then the ipa-getcert request will work.</div><div><br></div><div>I hope it helps (you or anyone else needing a subjectaltname in a certificate).</div><div>Cheers,</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><font face="arial, helvetica, sans-serif"><div><span style="font-family:arial"><font face="arial, helvetica, sans-serif"><div>--</div><div><font color="#666666">Youenn Piolet</font></div><div><font size="1" color="#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></font></div><div style="font-size:large"><span style="font-size:small"><span style="font-family:arial"><div><font face="tahoma, sans-serif"><span style="font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><span style="font-family:tahoma,sans-serif;font-size:small"><font color="#666666"><span style="color:rgb(142,142,142);font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><em><br></em></span></font></span></span></font></div><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span></div></font></span></div></font></div></div>
<br><div class="gmail_quote">2015-09-09 18:12 GMT+02:00 Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 5.9.2015 12:48, Günther J. Niederwimmer wrote:<br>
> Hello,<br>
><br>
> System CentOS 7.<br>
><br>
> is it possible to change a certificate to add a subject alt name?<br>
><br>
> My "Problem" is, I have a Mail Server with name <a href="http://smtp.example.com" rel="noreferrer" target="_blank">smtp.example.com</a> and the<br>
> correct service certificates smtp/<a href="http://smtp.example.com" rel="noreferrer" target="_blank">smtp.example.com</a> & imap/<a href="http://example.com" rel="noreferrer" target="_blank">example.com</a> now I<br>
> make in my DNS Server (is a external system) a new Record "imap IN CNAME smtp"<br>
> but this is now missing in the certificate?<br>
><br>
> The Problem I mean is DNSSEC, so I can't setup this with freeIPA and I don’t<br>
> have a host/<a href="http://imap.example.com" rel="noreferrer" target="_blank">imap.example.com</a>.<br>
<br>
</span>I'm sorry but I do not see how this is related to DNS. It might not be related<br>
to IPA at all.<br>
<br>
IPA only issues the cert. If the cert contains both subjectAltNames then the<br>
problem is likely in your DNS configuration or in configuration on the<br>
application server side (where you installed the cert).<br>
<br>
Unfortunately I'm not able to tell you more without more details - what<br>
application you use, what versions, how did you it configured, etc.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Petr^2 Spacek<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project</div></div></blockquote></div><br></div>