<div dir="ltr"><div><div><div>> There is no need to have a CA on every ipa server, so a CA is not<br>
> installed by default.<br><br></div>What is the downside of having every replica as a CA ?<br></div>Because in case of big trouble with your master, if your replica is not a CA you can not replace your master from this replica right ?<br></div>In particular you can not make another replica from your existing replica.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 28, 2015 at 7:11 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 2015-12-28 at 13:10 +0100, Harald Dunkel wrote:<br>
> Hi folks,<br>
><br>
> how comes that '--setup-ca' is not the default for<br>
> ipa-replica-install? What is best practice wrt creating<br>
> a local ca on the replicas?<br>
><br>
> Every insightful comment is highly appreciated.<br>
<br>
There is no need to have a CA on every ipa server, so a CA is not<br>
installed by default.<br>
<br>
You can pass --setup-ca at install time or you can use ipa-ca-install<br>
later on.<br>
<br>
Simo.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>