<div dir="ltr"><div>Hi,</div><div><br></div><div>We will start setting up IDM/FreeIPA  for a specific linux subdomain in our enterprise.</div><div>The part of setting up a trust is clear: we will be using an external trust - for a selected Active Directory domain</div><div><br></div><div>But how can we best integrate with the enterprise CA infrastructure (MS Certificate Services)?</div><div><br></div><div>Is it possible to deploy FreeIPA (dogtag) as rootCA, and to publish requests for public HTTPS certitificates by GlobalSign, or if internal, the MS Certificate Services rootCA?</div><div>We can still use FreeIPA for all certificates where we need to encrypt end-to-end communication between servers (as example)</div><div>What about the principle of an offline rootCA in that case?</div><div><br></div><div>Or is there a specific reason that a subordinate CA is a better idea, signed by the root CA of the MS PKI infrastructure?</div><div>And if we ask a subordinate CA, is it possible to limit exposure/risks? By setting some extensions?</div><div><br></div><div>To conclude: own rootCA, or subordinate CA signed by the existing MS Certificate Services PKI????</div><div><br></div><div>Sincerely, Pieter Baele</div></div>