<div dir="ltr"><div class="gmail_default" style=""><div class="gmail_default" style="">Hi Fraser,</div><div class="gmail_default" style=""><br></div><div class="gmail_default" style="">Thank you very much for the immediate response. Our use-case for Dogtag is: our installation engineers request a signing CA cert through the Dogtag web interface, and our admin grants the request, anything following is not managed with Dogtag. So we only use Dogtag for managing the root cert and the signing CA certs (beside OCSP, audit certs, etc that come with the system).</div><div class="gmail_default" style=""><br></div><div class="gmail_default" style="">I'm not sure how your solution would work in our case, if we import a signing cert into Dogtag and sign other certs that we give to our installation engineers using it, it would change our current cert chain.</div><div class="gmail_default" style=""><br></div><div class="gmail_default" style="">Reading your reply, I realized I probably misunderstood how FreeIPA worked, I thought I only needed to import Dogtag's Root CA (which is our company Root CA) into FreeIPA's Dogtag for it to work. Just for checking, this would not work, would it?</div><div class="gmail_default" style=""><br></div><div class="gmail_default" style="">Thanks,</div><div class="gmail_default" style="">Ha</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 4, 2016 at 7:24 PM, Fraser Tweedale <span dir="ltr"><<a href="mailto:ftweedal@redhat.com" target="_blank">ftweedal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, May 04, 2016 at 06:51:20PM -0700, Ha T. Lam wrote:<br>
> Hi,<br>
><br>
> We have an in-house CA system managed by a stand-alone Dogtag system, we<br>
> would like to integrate it with our FreeIPA system which is already in use<br>
> and is setup with the company LDAP. I'm new to FreeIPA and I have some<br>
> questions about this process:<br>
><br>
> 1. Is it possible to add our current Dogtag on top of the FreeIPA system<br>
> directly? If so, how would I achieve that?<br>
><br>
</span>This is not supported, though it's technically feasible (we just<br>
don't have any code to do it).<br>
<span class=""><br>
> 2. If it's not possible to do the above, what about setting up a clone of<br>
> the current FreeIPA system and migrate Dogtag during the installation of<br>
> the replica? Is this a better option?<br>
><br>
</span>Same as above... technically feasible but no way to do it right now.<br>
<br>
> 3. Any other alternative?<br>
><br>
One alternative is to export your CA signing cert and key, and<br>
install a new Dogtag instance in your FreeIPA environment.  The IPA<br>
Dogtag instance would be "detached" from your existing Dogtag<br>
instance but, cryptographically speaking, it would be the same CA.<br>
<br>
You would have to tweak serial number ranges to ensure the new<br>
instance doesn't reuse serial numbers that were already used (a<br>
simple procedure).<br>
<br>
How well this would work in your organisation would depend on what<br>
sorts of things you use the exiting Dogtag for, how clients expect<br>
to renew certificates, etc.  I'm happy to answer questions you might<br>
have in considering this approach.<br>
<br>
Cheers,<br>
Fraser<br>
</blockquote></div><br></div>