<p dir="ltr">Clark,</p>
<p dir="ltr">Thank you.</p>
<p dir="ltr">> I personally haven't done this, but from <a href="https://www.freeipa.org/page/PKI">https://www.freeipa.org/page/PKI</a><br>
><br>
> "when --external-ca option is used, ipa-server-install produces a certificate certificate request for it's CA certificate so that it can be properly chained in existing PKI infrastructure."<br>
></p>
<p dir="ltr">Is anyone here been successful in getting external CA to sign this kind of certificate?  I have just tried to convince DigiCert for 2 days that there is no harm issuing this kind of certificate as long us it's restricted to one domain without success.</p>
<p dir="ltr">Which external CA would be more open to signing this kind of certificate?</p>
<p dir="ltr">Lastly, would there be any harm enrolling IPA clients to this server before feeding it the signed certificate ?</p>
<p dir="ltr">Regards</p>
<p dir="ltr">William</p>