<div dir="ltr">I am trying to get FreeIPA LDAP to work when behind a load balancer and using SSL and I do not understand how I am supposed to get the server to use a certificate I created that has a SAN created.<div><br></div><div>FreeIPA 4.4.0 on CentOS 7<br><div><br></div><div>Here is what I have:</div><div><a href="http://ipa-master.dev.crosschx.com">ipa-master.dev.crosschx.com</a> - master</div><div><a href="http://ipa-replica.dev.crosschx.com">ipa-replica.dev.crosschx.com</a> - replica</div><div><a href="http://ipa.dev.crosschx.com">ipa.dev.crosschx.com</a> - load balancer DNS name which point to the master and replica servers</div><div><br></div><div>Here is what I have done.</div><div>ipa host-add <a href="http://ipa.dev.crosschx.com">ipa.dev.crosschx.com</a> --random --force<br></div><div><br></div><div>ipa service-add --force ldap/<a href="http://ipa.dev.crosschx.com">ipa.dev.crosschx.com</a><br></div><div><br></div><div>ipa service-add-host ldap/<a href="http://ipa.dev.crosschx.com">ipa.dev.crosschx.com</a> --hosts={<a href="http://ipa-master.dev.crosschx.com">ipa-master.dev.crosschx.com</a>,<a href="http://ipa-replica.dev.crosschx.com">ipa-replica.dev.crosschx.com</a>}<br></div><div><br></div><div>ipa service-allow-retrieve-keytab ldap/<a href="http://ipa.dev.crosschx.com">ipa.dev.crosschx.com</a> --users=admin<br></div><div><br></div><div>ipa-getcert request -d /etc/crosschx -n ipa-load-balancer -N "CN=<a href="http://ipa-master.dev.crosschx.com">ipa-master.dev.crosschx.com</a>,O=<a href="http://DEV.CROSSCHX.COM">DEV.CROSSCHX.COM</a>" -D <a href="http://ipa.dev.crosschx.com">ipa.dev.crosschx.com</a> -K ldap/<a href="http://ipa-master.dev.crosschx.com">ipa-master.dev.crosschx.com</a><br></div><div><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr" style="font-size:12.8px"><br></div><div style="font-size:12.8px">I can see the certificate is being monitored by IPA when I run ipa-getcert list but I am lost at the step to have this cert put into the database so that IPA will properly respond when I try to connect over LDAPS.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I was testing the connection with the following command and I see the the ipa-master.dev cert being served.</div><div style="font-size:12.8px"><br></div><div><span style="font-size:12.8px">openssl s_client -connect <a href="http://ipa-master.dev.crosschx.com:636">ipa-master.dev.crosschx.com:636</a> -servername <a href="http://ipa.dev.crosschx.com">ipa.dev.crosschx.com</a></span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Can you point me to the documentation I need to follow?</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Thank you.</span></div><div dir="ltr" style="font-size:12.8px"><br></div><div dir="ltr" style="font-size:12.8px"><br></div><div dir="ltr" style="font-size:12.8px"><b><font size="2">Mike Plemmons | Senior DevOps Engineer | CROSSCHX</font></b><div>614-741-5475</div><div><a href="mailto:mike.plemmons@crosschx.com" target="_blank">mike.plemmons@crosschx.com</a></div><div><a href="http://www.crosschx.com/" target="_blank">www.crosschx.com</a></div></div></div></div></div></div></div></div></div></div></div>
</div></div></div>