<div dir="ltr"><div><div>Thanks for the quick response Florence!<br></div><br>My goal 
is the use a 3rd party certificate(such as Verisign cert) for Web 
UI(company security requirement), in fact we are not required to use 3rd
 party certificate for the LDAP server, but as I mentioned earlier, I 
couldn't make the new Verisign cert to work with the Web UI, without 
messing up the IPA function(after I updated the nss.conf to use the new 
cert in the /etc/httpd/alias db, the ipa_client_install failed). So I 
tried to follow the Redhat instruction, to see if I can get the Verisign
 cert installed at the most beginning, without using FreeIPA's 
own/default certificate), but I got the CSR question.<br><br></div>I did install IPA without a CA, by following the instruction at <a target="_blank" href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP">https://www.freeipa.org/page/<wbr>Using_3rd_part_certificates_<wbr>for_HTTP/LDAP</a>,
 but failed to restart HTTPD. When and how can I provide the 3rd-party 
certificate? Could you please point me a document about the detail? 
Thanks again!<br><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 29, 2016 at 5:25 AM, Florence Blanc-Renaud <span dir="ltr"><<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
The instructions that you followed are used when you want to install FreeIPA with an embedded Certificate Authority (ie FreeIPA is able to issue certificates), and FreeIPA CA is signed by a 3rd party CA.<br>
<br>
Maybe your goal is just to use a 3rd party certificate for IPA's LDAP server and Web UI. In this case, you do not need to install FreeIPA with an embedded CA. You can follow the instructions for Installing without a CA [1], where you will need to provide a 3rd-part certificate.<br>
<br>
Hope this clarifies,<br>
Flo.<br>
<br>
[1] <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/install-server.html#install-server-without-ca" rel="noreferrer" target="_blank">https://access.redhat.com/docu<wbr>mentation/en-US/Red_Hat_Enterp<wbr>rise_Linux/7/html/Linux_Domain<wbr>_Identity_Authentication_and_<wbr>Policy_Guide/install-server.<wbr>html#install-server-without-ca</a><div class="HOEnZb"><div class="h5"><br>
<br>
<br>
On 09/29/2016 11:03 AM, beeth beeth wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I am trying to set up IPA servers with Verisign certificate, so that the<br>
Admin Web console can use public signed certificate to meet company's<br>
security requirement. But when I try to follow Red Hat's instructions at<br>
<a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/install-server.html#install-server-external-ca" rel="noreferrer" target="_blank">https://access.redhat.com/docu<wbr>mentation/en-US/Red_Hat_Enterp<wbr>rise_Linux/7/html/Linux_Domain<wbr>_Identity_Authentication_and_<wbr>Policy_Guide/install-server.<wbr>html#install-server-external-<wbr>ca</a>,<br>
<br>
2.3.5. Installing a Server with an External CA as the Root CA,<br>
at the first step it says to generate CSR by adding the --external-ca<br>
option to the ipa-server-install utility, which does generate a CRS at<br>
/root/ipa.csr. However, the ipa-server-install command in fact doesn't<br>
ask for Distinguished Name (DN) or the organization info(like country,<br>
state, etc.), which are required in the CSR. Without a valid CSR file, I<br>
can't request for new Verisign certs. Did I miss something?<br>
<br>
Originally I once tried to change the default certificate for Apache(the<br>
Web Admin console) ONLY to the Verisign one, by adding the certificates<br>
to the /etc/httpd/alias database with the command:<br>
  # ipa-server-certinstall -w --http_pin=test verisign.pk12<br>
And updated the nss.conf for httpd, so that the new Nickname is used to<br>
point to the Verisign certs. That worked well for the website. However,<br>
the IPA client installation failed after that for the "ipa-client-install":<br>
<br>
ERROR Joining realm failed: libcurl failed to execute the HTTP POST<br>
transaction, explaining:  Peer's certificate issuer has been marked as<br>
not trusted by the user.<br>
<br>
Even I tried to also update the certificate for the Directory<br>
service(ipa-server-certinstall -d ... ), the client installation still<br>
failed. I believe the new Verisign cert messed up the communication of<br>
the IPA components. Then I am thinking to install the IPA server from<br>
scratch with the Verisign cert, but then I hit the CSR problem described<br>
above.<br>
<br>
Please advise. Thanks!<br>
<br>
<br>
</blockquote>
<br>
</div></div></blockquote></div><br></div></div>