<div dir="ltr">The problem is that I'm not using ipa for dns. dns is handled externally, and I don't have admin access. I have 1 master and 1 replica, and all the clients are enrolled with --server=a,--server=b during installation, and I think it works perfectly fine. Is it possible to instruct ipa to use some alternative for the certs ? If it's not possible to list multiple uris, even just the master would be fine. It would at least work when the master is up, which it doesn't right now. <div><br></div><div><div>Secondly, I'm a bit confused regarding the dns too. This error is on a client system like my laptop, which is an entirely unrelated system from the ipa clients. The connection is over the internet. So the dns mapping would have to be visible globally for my laptop to see it. However, the name of the ipa domain is not the same the same as the name of domain in the server addresses. (This was for some historic reason in NIS, and I didn't change the domain name during migration). So what ipa is suggesting is something like <a href="http://ipa-ca.abc.com">ipa-ca.abc.com</a>, whereas all my servers are like <a href="http://server1.pqr.xyz.com">server1.pqr.xyz.com</a>. I don't think it is anyway possible to do this right now since I don't control <a href="http://abc.com">abc.com</a>. </div></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 27, 2016 at 10:19 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Prasun Gera wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
I've identified the problem. The uris seem to be incorrect. This looks<br>
like some substitution gone wrong. Instead of using the actual ipa<br>
server's address, it points to a generic placeholder type text<br></span>
(<a href="http://ipa-ca.domain.com" rel="noreferrer" target="_blank">ipa-ca.domain.com</a> <<a href="http://ipa-ca.domain.com" rel="noreferrer" target="_blank">http://ipa-ca.domain.com</a>>). Relevant part of the<br>
certificate:<br>
</blockquote>
<br>
A generic name is used in case the server that issued the cert goes away. Create an entry in DNS for this generic name and things should work as expected.<br>
<br>
rob<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Authority Information Access:<br>
                 OCSP - URI:*<a href="http://ipa-ca.domain.com/ca/ocsp*" rel="noreferrer" target="_blank">http://ipa-ca.domain.com/ca/ocsp*</a><span class=""><br>
<br>
             X509v3 Key Usage: critical<br>
                 Digital Signature, Non Repudiation, Key Encipherment,<br>
Data Encipherment<br>
             X509v3 Extended Key Usage:<br>
                 TLS Web Server Authentication, TLS Web Client<br>
Authentication<br>
             X509v3 CRL Distribution Points:<br>
<br>
                 Full Name:<br></span>
                   URI:*<a href="http://ipa-ca.domain.com/ipa/crl/MasterCRL.bin*" rel="noreferrer" target="_blank">http://ipa-ca.domain.com/ipa/crl/MasterCRL.bin*</a><span class=""><br>
<br>
<br>
This is on RHEL 7.2, idm 4.2 btw<br>
<br>
On Fri, May 27, 2016 at 7:22 PM, Prasun Gera <<a href="mailto:prasun.gera@gmail.com" target="_blank">prasun.gera@gmail.com</a><br></span><span class="">
<mailto:<a href="mailto:prasun.gera@gmail.com" target="_blank">prasun.gera@gmail.com</a>>> wrote:<br>
<br>
    It looks like that issue was fixed and the OCSP and CRL uris in the<br>
    certs are now http. So I'm not sure why java is complaining.<br>
<br>
    On Fri, May 27, 2016 at 7:03 PM, Prasun Gera <<a href="mailto:prasun.gera@gmail.com" target="_blank">prasun.gera@gmail.com</a><br></span><span class="">
    <mailto:<a href="mailto:prasun.gera@gmail.com" target="_blank">prasun.gera@gmail.com</a>>> wrote:<br>
<br>
        I've set up a couple of dell idrac card's ssl certs signed by<br>
        ipa CA. I've also added the ipa CA to java's trusted CAs.<br>
        However, when you try to launch the idrac java console, it will<br>
        still show an error that the site is untrusted. Upon clicking on<br>
        "more information", the message says that although the cert is<br>
        signed by the CA, it cannot verify the revocation status. I<br>
        found this page<br>
        <a href="http://www.freeipa.org/page/V3/Single_OCSP_and_CRL_in_certs" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V3/Single_OCSP_and_CRL_in_certs</a> ,<br>
        which explains potential problems with this since the main ipa<br>
        server itself is also using an ssl cert signed by the ipa CA. So<br>
        the client cannot verify the revocation if it can't reach the<br>
        CA. Is there any solution to this ? Anyone tried this with idrac<br>
        cards ?<br>
<br>
<br>
<br>
<br>
<br>
</span></blockquote>
<br>
</blockquote></div><br></div>