<div dir="ltr"><div><div>Also, I once followed the instruction about "Using 3rd part certificates for HTTP/LDAP" at <a href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP">https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP</a>,  for my environment: IPA 4.2 on RHEL7<br><br># ipa-cacert-manage -p DM_PASSWORD -n NICKNAME -t C,, install ca.crt<br># ipa-certupdate<br># ipa-server-certinstall -w -d mysite.key mysite.crt<br># systemctl restart httpd.service<br># systemctl restart dirsrv@MY-REALM.service<br><br></div>It failed at the step to restart httpd.service.<br><br></div>Thanks!<br><br><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 29, 2016 at 5:03 AM, beeth beeth <span dir="ltr"><<a href="mailto:beeth2006@gmail.com" target="_blank">beeth2006@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div>I am trying to set up IPA servers with Verisign certificate, so that the Admin Web console can use public signed certificate to meet company's security requirement. But when I try to follow Red Hat's instructions at <br><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/install-server.html#install-server-external-ca" target="_blank">https://access.redhat.com/<wbr>documentation/en-US/Red_Hat_<wbr>Enterprise_Linux/7/html/Linux_<wbr>Domain_Identity_<wbr>Authentication_and_Policy_<wbr>Guide/install-server.html#<wbr>install-server-external-ca</a>, <br>2.3.5. Installing a Server with an External CA as the Root CA, <br>at the first step it says to generate CSR by adding the --external-ca option to the ipa-server-install utility, which does generate a CRS at /root/ipa.csr. However, the ipa-server-install command in fact doesn't ask for Distinguished Name (DN) or the organization info(like country, state, etc.), which are required in the CSR. Without a valid CSR file, I can't request for new Verisign certs. Did I miss something?<br><br></div>Originally I once tried to change the default certificate for Apache(the Web Admin console) ONLY to the Verisign one, by adding the certificates to the /etc/httpd/alias database with the command:<br>  # ipa-server-certinstall -w --http_pin=test verisign.pk12<br></div>And updated the nss.conf for httpd, so that the new Nickname is used to point to the Verisign certs. That worked well for the website. However, the IPA client installation failed after that for the "ipa-client-install":<br><br>ERROR Joining realm failed: libcurl failed to execute the HTTP POST transaction, explaining:  Peer's certificate issuer has been marked as not trusted by the user.<br><div><div><br></div><div>Even I tried to also update the certificate for the Directory service(ipa-server-certinstall -d ... ), the client installation still failed. I believe the new Verisign cert messed up the communication of the IPA components. Then I am thinking to install the IPA server from scratch with the Verisign cert, but then I hit the CSR problem described above.<br><br></div><div>Please advise. Thanks!<br></div></div></div>
</blockquote></div><br></div></div></div></div></div>