<div dir="ltr">I personally haven't done this, but from <a href="https://www.freeipa.org/page/PKI">https://www.freeipa.org/page/PKI</a><div><br></div><div>"<span style="color:rgb(46,52,54);font-family:"source sans pro",sans-serif;font-size:14px;line-height:20px">when </span><tt style="color:rgb(46,52,54);font-size:14px;line-height:20px">--external-ca</tt><span style="color:rgb(46,52,54);font-family:"source sans pro",sans-serif;font-size:14px;line-height:20px"> option is used, </span><tt style="color:rgb(46,52,54);font-size:14px;line-height:20px">ipa-server-install</tt><span style="color:rgb(46,52,54);font-family:"source sans pro",sans-serif;font-size:14px;line-height:20px"> produces a certificate certificate request for it's CA certificate so that it can be properly chained in existing PKI infrastructure."</span></div><div><span style="color:rgb(46,52,54);font-family:"source sans pro",sans-serif;font-size:14px;line-height:20px"><br></span></div><div><span style="color:rgb(46,52,54);font-family:"source sans pro",sans-serif;font-size:14px;line-height:20px">and from </span><font color="#2e3436" face="source sans pro, sans-serif"><span style="font-size:14px;line-height:20px"><a href="https://www.redhat.com/archives/freeipa-users/2014-January/msg00057.html">https://www.redhat.com/archives/freeipa-users/2014-January/msg00057.html</a> </span></font></div><div><span style="color:rgb(46,52,54);font-family:"source sans pro",sans-serif;font-size:14px;line-height:20px"><br></span></div><div><span style="color:rgb(46,52,54);font-family:"source sans pro",sans-serif;font-size:14px;line-height:20px">"</span><tt style="color:rgb(0,0,0)">First run ipa-server-install with --external-ca, which will create </tt><tt style="color:rgb(0,0,0)">a CSR for IPA CA certificate in /root/ipa.csr. Then sign the CSR with </tt><tt style="color:rgb(0,0,0)">the external CA to get the IPA CA certificate. Finally, run </tt><tt style="color:rgb(0,0,0)">ipa-server-install with --external_cert_file pointing to the IPA CA </tt><tt style="color:rgb(0,0,0)">certificate and --external_ca_file pointing to CA certificate of the </tt><tt style="color:rgb(0,0,0)">external CA."</tt></div><div><tt style="color:rgb(0,0,0)"><br></tt></div><div><tt style="color:rgb(0,0,0)">From that previous paragraph, it looks like the --external-ca option doesn't actually install anything, just creates the correct CSR for the domain you intend to create.</tt></div><div><tt style="color:rgb(0,0,0)"><br></tt></div><div><tt style="color:rgb(0,0,0)">If you can create a temporary CentOS virtual machine you could run the "ipa-server-install --external-ca" command and see what happens :)</tt></div><div><tt style="color:rgb(0,0,0)"><br></tt></div><div><tt style="color:rgb(0,0,0)">Hope this helps,</tt></div><div><tt style="color:rgb(0,0,0)"><br></tt></div><div><tt style="color:rgb(0,0,0)">Anthony Clark</tt></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jul 27, 2016 at 11:24 PM, William Muriithi <span dir="ltr"><<a href="mailto:william.muriithi@gmail.com" target="_blank">william.muriithi@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello<br>
<br>
I want to use an external certificate when setting up a new FreeIPA<br>
next week and plan to send the CSR tomorrow.<br>
<br>
I would like to source a certificate for <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a> and use it on<br>
FreeIPA on <a href="http://eng.example.com" rel="noreferrer" target="_blank">eng.example.com</a>.  I can't specifically set the FreeIPA on<br>
<a href="http://example.com" rel="noreferrer" target="_blank">example.com</a> because we have active directory on <a href="http://corp.example.com" rel="noreferrer" target="_blank">corp.example.com</a><br>
<br>
Is there a way for using FreeIPA with such a setup?  I am hoping that<br>
if I can setup FreeIPA using <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a>, I can be able to generate<br>
certificates for both Windows and Linux plus other like<br>
<a href="http://vpn.example.com" rel="noreferrer" target="_blank">vpn.example.com</a> that don't sit well on either AD or FreeIPA domain.<br>
<br>
Whats the best way to approach this?  If not possible, would setting<br>
FreeIPA as a sub domain for active directory help?<br>
<br>
Regards,<br>
<br>
William<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>