<div dir="ltr"><div><div><div><div><div>Hi Florence,<br><br></div>I previously tried option a) and failed(need to find out why later), but I was able to successfully reinstall the server and the client with option b), thanks a lot! So when it says "Installing Without a CA", it means without a "embeded CA"(the IPA's own CA), is that right?<br><br></div>Another main problem comes up for option b): now I am going to install the replica server(ipa2), if I do the same as I did before:<br><br>[root@ipa1 ~]# ipa-replica-prepare <a href="http://ipa2.example.com">ipa2.example.com</a><br><br>copy the gpg file from ipa1 to ipa2<br><br>[root@ipa2 ~]# ipa-replica-install /var/lib/ipa/replica-info-ipa2.example.com.gpg<br><br></div>Then I believe the Apache on ipa2(the replica server) will use the Verisign certificate with the same hostname(DN): <a href="http://ipa1.example.com">ipa1.example.com</a>, NOT <a href="http://ipa2.example.com">ipa2.example.com</a>, hence the users who visit <a href="https://ipa2.example.com">https://ipa2.example.com</a> will experience security warning from the browser, as expected...<br></div>What could be a solution for this?<br><br></div>Thanks again!<br><div><div><div><div><br><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 29, 2016 at 6:03 AM, Florence Blanc-Renaud <span dir="ltr"><<a target="_blank" href="mailto:flo@redhat.com">flo@redhat.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span class="gmail-">On 09/29/2016 11:43 AM, beeth beeth wrote:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
Thanks for the quick response Florence!<br>
<br>
My goal is the use a 3rd party certificate(such as Verisign cert) for<br>
Web UI(company security requirement), in fact we are not required to use<br>
3rd party certificate for the LDAP server, but as I mentioned earlier, I<br>
couldn't make the new Verisign cert to work with the Web UI, without<br>
messing up the IPA function(after I updated the nss.conf to use the new<br>
cert in the /etc/httpd/alias db, the ipa_client_install failed). So I<br>
tried to follow the Redhat instruction, to see if I can get the Verisign<br>
cert installed at the most beginning, without using FreeIPA's<br>
own/default certificate), but I got the CSR question.<br>
<br>
I did install IPA without a CA, by following the instruction at<br>
<a target="_blank" rel="noreferrer" href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP">https://www.freeipa.org/page/U<wbr>sing_3rd_part_certificates_for<wbr>_HTTP/LDAP</a>,<br>
but failed to restart HTTPD. When and how can I provide the 3rd-party<br>
certificate? Could you please point me a document about the detail?<br>
</blockquote></span>
Hi,<br>
<br>
you need first to clarify if you want FreeIPA to act as a CA or not. The setup will depend on this choice.<br>
<br>
- option a) FreeIPA with an embedded CA:<br>
you can install FreeIPA with a self-signed CA, then follow the instructions at <a target="_blank" rel="noreferrer" href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP">https://www.freeipa.org/page/U<wbr>sing_3rd_part_certificates_for<wbr>_HTTP/LDAP</a> in order to replace the WebUI certificate. Please note that there were some bugs in ipa-server-certinstall, preventing httpd from starting (Ticket #4786 [1]). The workaround is to manually update nss.conf (as you did) and manually import the CA certificate into /etc/pki/pki-tomcat/alias, for instance with<br>
$ certutil -A -d /etc/pki/pki-tomcat/alias -i cacert.pem -n nickname -t C,,<br>
<br>
<br>
- option b) Free IPA without CA<br>
the installation instructions are in Installing without a CA [2]. You will provide the certificate that will be used by both the LDAP server and the WebUI in the command options.<br>
<br>
HTH,<br>
Flo.<br>
<br>
[1] <a target="_blank" rel="noreferrer" href="https://fedorahosted.org/freeipa/ticket/4786">https://fedorahosted.org/freei<wbr>pa/ticket/4786</a><br>
[2] <a target="_blank" rel="noreferrer" href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/install-server.html#install-server-without-ca">https://access.redhat.com/docu<wbr>mentation/en-US/Red_Hat_Enterp<wbr>rise_Linux/7/html/Linux_Domain<wbr>_Identity_Authentication_and_<wbr>Policy_Guide/install-server.<wbr>html#install-server-without-ca</a><br></blockquote><div> </div></div></div></div></div></div></div></div></div></div></div>