<div dir="ltr">Marcin,<div><br></div><div>Not sure what exactly you're looking for here, but the beauty of profiles is you can create your own. If the ECC profile works as you would expect, you can always create a copy with a new name and change the appropriate lines. A quick diff of the two profiles you mention shows that there's not a lot that's different between the two:</div><div><br></div><div><div>diff caEncECUserCert.cfg caEncUserCert.cfg </div><div>1c1</div><div>< desc=This certificate profile is for enrolling user ECC encryption certificates. It works only with latest Firefox.</div><div>---</div><div>> desc=This certificate profile is for enrolling user encryption certificates with option to archive keys.</div><div>5c5</div><div>< name=Manual User Encryption ECC Certificates Enrollment</div><div>---</div><div>> name=Manual User Encryption Certificates Enrollment</div><div>7,8c7,10</div><div>< input.list=i1</div><div>< input.i1.class_id=encKeyGenInputImpl</div><div>---</div><div>> input.list=i1,i2,i3</div><div>> input.i1.class_id=certReqInputImpl</div><div>> input.i2.class_id=subjectNameInputImpl</div><div>> input.i3.class_id=submitterInfoInputImpl</div><div>31,32c33,34</div><div>< policyset.encryptionCertSet.3.constraint.params.keyType=EC</div><div>< policyset.encryptionCertSet.3.constraint.params.keyParameters=nistp256,nistp521</div><div>---</div><div>> policyset.encryptionCertSet.3.constraint.params.keyType=RSA</div><div>> policyset.encryptionCertSet.3.constraint.params.keyParameters=1024,2048,3072,4096</div><div>93a96</div><div>> </div></div><div><br></div><div>In theory (I have not tested this) you should be able to change the lines for 'policyset.encryptionCertSet.3.constraint.params.keyType' and 'policyset.encryptionCertSet.3.constraint.params.keyParameters' to match the caEncUserCert.cfg profile and keep everything else the same. If you have the KRA installed and configured to work with your CA, the encryption keys should automatically be archived in the KRA. </div><div class="gmail_extra"><br></div><div class="gmail_extra">-- Dave<br>
<br><div class="gmail_quote">On Tue, Oct 13, 2015 at 10:36 AM, Marcin Mierzejewski <span dir="ltr"><<a href="mailto:marcinmierzejewski1024@gmail.com" target="_blank">marcinmierzejewski1024@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">there is a <font face="PrimaSans BT, Verdana, sans-serif" size="-1">caEncECUserCert that works as I expect but generates Eliptic curve certificate. Is there any eqiuvalent for RSA? And next question is: could I use this profile to generate enduser certificate remote by calling REST service?</font></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">2015-10-13 15:51 GMT+02:00 Marcin Mierzejewski <span dir="ltr"><<a href="mailto:marcinmierzejewski1024@gmail.com" target="_blank">marcinmierzejewski1024@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px">Hi All,</div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><br></div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px">What I want is simple profile for requesting encryption(not sign) personal certificate that will private key be stored in KRA/DRM. I check existing profiles and found profile that name and description meet the goals I want to achieve.</div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><br></div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><b>CaEncUserCert.cfg</b></div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><b><br></b></div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px">this profile was not visible I change that. I opened this profile in end user CA application </div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><br></div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><br></div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><b><font face="PrimaSans BT, Verdana, sans-serif" size="-1">Certificate Profile - Manual User Encryption Certificates Enrollment
</font>
</b>
<p>
<font face="PrimaSans BT, Verdana, sans-serif" size="-1">
This certificate profile is for enrolling user encryption certificates with option to archive keys.</font></p><span><font color="#888888">
</font></span><span><font color="#888888">
</font></span><table width="100%"><tbody><tr><td><table width="100%"><tbody><tr><td><b><font face="PrimaSans BT, Verdana, sans-serif" size="-1">Certificate Request Input
</font>
</b>
</td>
</tr>
<tr>
<td width="40%">
<font face="PrimaSans BT, Verdana, sans-serif" size="-1">
</font><li><font face="PrimaSans BT, Verdana, sans-serif" size="-1">
Certificate Request Type list ( pcks10 or crmf)</font></li></td>
<td>

</td>
</tr>
<tr>
<td width="40%">
<font face="PrimaSans BT, Verdana, sans-serif" size="-1">
</font><li><font face="PrimaSans BT, Verdana, sans-serif" size="-1">
Certificate Request (text area for request)</font></li><b>
<font face="PrimaSans BT, Verdana, sans-serif" size="-1"> Subject Name <br></font></b> -fields with info about user(propably should be same values that were in certificate request)<br><b><font face="PrimaSans BT, Verdana, sans-serif" size="-1">Requestor Information <br></font></b>- info about requestor<br><br>How it's possible to store private key without even sending it to CA? can be private key enclosed into "Certificate Request"? If answer is no - as I think why there is a "option to archieve keys"?<span><font color="#888888"><br><br><br></font></span></td></tr></tbody></table></td></tr></tbody></table><span><font color="#888888">
<p>
</p></font></span></div><span><font color="#888888"><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px"><br></div><div style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;font-size:16px">Marcin</div><div><br></div></font></span></div>
</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Pki-users mailing list<br>
<a href="mailto:Pki-users@redhat.com">Pki-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pki-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/pki-users</a><br></blockquote></div><br></div></div>