<div dir="ltr">It looks like that issue was fixed and the OCSP and CRL uris in the certs are now http. So I'm not sure why java is complaining. </div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 27, 2016 at 7:03 PM, Prasun Gera <span dir="ltr"><<a href="mailto:prasun.gera@gmail.com" target="_blank">prasun.gera@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I've set up a couple of dell idrac card's ssl certs signed by ipa CA. I've also added the ipa CA to java's trusted CAs. However, when you try to launch the idrac java console, it will still show an error that the site is untrusted. Upon clicking on "more information", the message says that although the cert is signed by the CA, it cannot verify the revocation status. I found this page <a href="http://www.freeipa.org/page/V3/Single_OCSP_and_CRL_in_certs" target="_blank">http://www.freeipa.org/page/V3/Single_OCSP_and_CRL_in_certs</a> , which explains potential problems with this since the main ipa server itself is also using an ssl cert signed by the ipa CA. So the client cannot verify the revocation if it can't reach the CA. Is there any solution to this ? Anyone tried this with idrac cards ?</div>
</blockquote></div><br></div>