<div dir="ltr">Hello All,<div><br></div><div>I have a crazy notion of storing a host's SSH private keys in a ipa vault, so that a rebuilt host can use the same keys.</div><div><br></div><div>I'm on CentOS 7.2 and I'm using the RPMs available in the standard centos base repository, so I'm constrained to version 1.0 vaults.  I'm using this page:  <a href="http://www.freeipa.org/page/V4/Password_Vault_1.0#Provisioning_service_vault_password_for_service_instance">http://www.freeipa.org/page/V4/Password_Vault_1.0#Provisioning_service_vault_password_for_service_instance</a></div><div><br></div><div>I'm trying these following steps but running into trouble:</div><div><br></div><div>ipa service-add ssh/<a href="http://test01.dev.redacted.net">test01.dev.redacted.net</a><br></div><div><div><br></div><div>certutil -N -d testcertdb</div><div><br></div><div>certutil -R -d testcertdb -a -g 2048 -s 'CN=<a href="http://test01.dev.redacted.net">test01.dev.redacted.net</a>,O=<a href="http://DEV.REDACTED.NET">DEV.REDACTED.NET</a>'</div></div><div><paste that csr into the ipa web gui></div><div><br></div><div>ipa-getcert request -r -f testsshd01-cert.pem -k testsshd01-key.pem -K ssh/<a href="mailto:test01.dev.redacted.net@DEV.REDACTED.NET">test01.dev.redacted.net@DEV.REDACTED.NET</a><br></div><div><br></div><div>ipa vault-add testsshd02 --service ssh/<a href="mailto:test01.dev.redacted.net@DEV.REDACTED.NET">test01.dev.redacted.net@DEV.REDACTED.NET</a> --type asymmetric --public-key-file testsshd01-cert.pem<br></div><div><br></div><div>the last command gives me "ipa: ERROR: invalid 'ipavaultpublickey': Invalid or unsupported vault public key: Could not unserialize key data."</div><div><br></div><div>Is there a preferred way to create a public key for asymmetric encryption for a service vault?</div><div><br></div><div>Thanks,</div><div><br></div><div>Anthony Clark</div></div>