<div dir="ltr">Thanks for the ticket information. I would still be interested in configuring mod_nss properly (irrespective of whether the certs are ipa generated or 3rd party). These are the worrying notes from ssllabs test:<div><br></div><div><div>The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C.</div><div>This server accepts the RC4 cipher, which is weak. Grade capped to B.</div><div>The server does not support Forward Secrecy with the reference browsers.</div></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 4, 2015 at 4:44 PM, Fraser Tweedale <span dir="ltr"><<a href="mailto:ftweedal@redhat.com" target="_blank">ftweedal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Nov 04, 2015 at 03:20:22PM -0800, Prasun Gera wrote:<br>
> I'm using idm (4.1.x) on a RHEL 7.1 with the webui accessible publicly. I'm<br>
> using a stock configuration which uses the certs signed by ipa's CA for the<br>
> webui. This is mostly for convenience since it manages renewals seamlessly.<br>
> This, however, requires users to add the CA as trusted to their browsers. A<br>
> promising alternative to this is <a href="https://letsencrypt.org/" rel="noreferrer" target="_blank">https://letsencrypt.org/</a>, which issues<br>
> browser trusted certs, and will manage auto renewals too (in the future).<br>
> As a feature request, it would be nice to have closer integration between<br>
> ipa and the letsencrypt client which would make managing certs simple. I'm<br>
> about to set this up manually right now using the external ssl certs guide.<br>
><br>
</span>Let's Encrypt is on our radar.  I like the idea of being able to<br>
install FreeIPA with publicly-trusted certs for HTTP and LDAP from<br>
the beginning.  This would require some work in ipa-server-install<br>
in addition to certmonger support and a good, stable Let's Encrypt /<br>
ACME client implementation for Apache on Fedora.<br>
<br>
Installing publicly-trusted HTTP / LDAP certs is a common activity<br>
so I filed a ticket: <a href="https://fedorahosted.org/freeipa/ticket/5431" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/5431</a><br>
<br>
Cheers,<br>
Fraser<br>
<div class="HOEnZb"><div class="h5"><br>
> Secondly, since the webui uses mod_nss, how would one set it up to prefer<br>
> security over compatibility with older clients ? The vast majority of<br>
> documentation online (for eg.<br>
> <a href="https://mozilla.github.io/server-side-tls/ssl-config-generator/" rel="noreferrer" target="_blank">https://mozilla.github.io/server-side-tls/ssl-config-generator/</a>) is about<br>
> mod_ssl and I think the configuration doesn't transfer directly to mod_nss.<br>
> Since this is the only web facing component, I would like to set it up to<br>
> use stringent requirements. Right now, a test on<br>
> <a href="https://www.ssllabs.com/ssltest/" rel="noreferrer" target="_blank">https://www.ssllabs.com/ssltest/</a> and <a href="https://weakdh.org/sysadmin.html" rel="noreferrer" target="_blank">https://weakdh.org/sysadmin.html</a><br>
> identifies<br>
> several issues. Since these things are not really my area of expertise, I<br>
> would like some documentation regarding this. Also, would manually<br>
> modifying any of the config files be overwritten by a yum update ?<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
</font></span></blockquote></div><br></div>