<div dir="ltr">hello,<div>I want to implement and IPA server and Sync it with my 2012 ms ad. While things go well using an internal CA in each server, I came across kind of problem when I want integrate solution with my PKI which is already serving the AD server.<div>I can install IPA with --external-ca switch. but when it comes to Sync. agreement it says "TLS error -8179:Peer's Certificate issuer is not recognized."</div><div><br></div><div>The architecture is:</div><div>- There is a root CA named <a href="http://contoso.com">contoso.com</a></div><div>- There is a subordinate CA named local.dc</div><div>- The certificates of AD and IPA server are both issued by local.dc</div><div>- IPA's certificate is issued  based on the CSR file generated by ipa-server-install </div><div>- I have copied both certificates in /etc/openldap/certs directory and the rest was same as what i did in the internal CA scenario.<br><br clear="all"><div>while the FreeIPA docs say both servers must have internal CA's i need to integrate solution with available PKI. </div><div>I would be glad hear suggestions if this scenario is applicable and what is wrong there.</div><div>thank you</div>-- <br><div class="gmail_signature">m-dehghan</div></div></div></div>