<div dir="ltr"><div>Hi Fraser,</div><div><br></div><div>Maybe I am not interpreting this 100% correctly....</div><div>Using a subCA: in which cases / direction it is not necessary to deploy the IPA intermediate CA cert?</div><div><br></div><div>AFAIK, all issuing (sub) CA's certs are deployed to (windows) clients. So in fact this is not (always) necessary?</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, May 2, 2017 at 12:55 PM Fraser Tweedale <<a href="mailto:ftweedal@redhat.com">ftweedal@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, May 02, 2017 at 09:45:49AM +0000, Pieter Baele wrote:<br>
> We will start setting up IDM/FreeIPA  for a specific linux subdomain in our<br>
> enterprise.<br>
><br>
> But how can we best integrate Dogtag with the enterprise CA infrastructure<br>
> (MS Certificate Services)?<br>
><br>
> Option 1: Dogtag as the rootCA (?)<br>
> We can use FreeIPA for all certificates where we need to encrypt end-to-end<br>
> communication between servers (as example)<br>
> And websites by external CA's or the the enterprise CA infrastructure for<br>
> which the issuing subca's are published to all cleints...<br>
><br>
> What about the principle of an offline rootCA in that case? Is that<br>
> possible with Dogtag?<br>
><br>
> Option 2: Dogtag (RH IDM) as a subordinate CA of MS CA.<br>
> Is there a specific reason that a subordinate CA is a better idea?<br>
> Our PKI administrator's do not really like an additional subCA, because it<br>
> is difficult to limit exposure/risks?<br>
> We still need to publish the subca to clients?<br>
><br>
> What's your opinion: rootCA, or subordinate CA signed by the existing MS<br>
> Certificate Services PKI?<br>
><br>
If you already have an MS CA securing your infrastructre, with the<br>
CA cert distribututed to clients / AD-enrolled machines, then the<br>
best approach is making the IPA CA subordinate to your MS CA.  Then<br>
you don't need to distribute the IPA CA certificate to Windows<br>
clients, because they already trust the root MS CA.<br>
<br>
TLS servers with certificates signed by the IPA CA will need to<br>
include the IPA CA intermediate certificate in their certificate<br>
chain.<br>
<br>
Hope that helps,<br>
Fraser<br>
</blockquote></div>