<div dir="ltr">Thanks for your response.<div><br><div>My environment is:</div><div>OS: Centos 6.7 - kernel 2.6.32-537.3.1</div><div>NSS package: nss-3.19.1-3</div><div>IPA version:  3.0.0-47</div><div>389-ds-base version: 1.2.11.15-60<br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 16, 2016 at 12:06 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, 16 Feb 2016, Mitra Dehghan wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
I want to Sync IPA and Active directory servers:<br>
1- I'm using an external root CA server which uses key size of 4096<br>
2- Both IPA and Active directory, use the same CA server as external root<br>
CA.<br>
3- Using default configuration,the handshake process for establishing SSL<br>
connection between servers(IPA and active directory) is failed during<br>
certificate-base authentication. As a result password Sync. fails after<br>
user synchronization is done.<br>
<br>
I guess the problem is key size and I was wondering if any special changes<br>
are required in the CA instance configured by IPA or if the job is possible<br>
at all.<br>
<br>
Note: Things goes well when I use internal CA servers both for active<br>
directory and IPA server.<br>
</blockquote>
Can you give a bit more details about your environment? We fixed a bug<br>
in NSS some time ago related to this issue.<br>
<a href="https://rhn.redhat.com/errata/RHBA-2015-2121.html" rel="noreferrer" target="_blank">https://rhn.redhat.com/errata/RHBA-2015-2121.html</a><br>
<br>
What is your distribution? nss package version? IPA version? 389-ds-base<br>
version?<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div></div><br clear="all"><div><br></div>-- <br><div class="gmail_signature">m-dehghan</div></div>