<div dir="ltr"><div style="color:rgb(33,33,33);font-size:13px">We will start setting up IDM/FreeIPA  for a specific linux subdomain in our enterprise.</div><div style="color:rgb(33,33,33);font-size:13px"><br></div><div style="color:rgb(33,33,33);font-size:13px">But how can we best integrate Dogtag with the enterprise CA infrastructure (MS Certificate Services)?</div><div style="color:rgb(33,33,33);font-size:13px"><br></div><div style="color:rgb(33,33,33);font-size:13px">Option 1: Dogtag as the rootCA (?)</div><div style="color:rgb(33,33,33);font-size:13px">We can use FreeIPA for all certificates where we need to encrypt end-to-end communication between servers (as example)<br></div><div style="color:rgb(33,33,33);font-size:13px">And websites by external CA's or the the enterprise CA infrastructure for which the issuing subca's are published to all cleints... </div><div style="color:rgb(33,33,33);font-size:13px"><br></div><div style="color:rgb(33,33,33);font-size:13px">What about the principle of an offline rootCA in that case? Is that possible with Dogtag?<br></div><div style="color:rgb(33,33,33);font-size:13px"><br></div><div style="color:rgb(33,33,33);font-size:13px">Option 2: Dogtag (RH IDM) as a subordinate CA of MS CA.</div><div style="color:rgb(33,33,33);font-size:13px">Is there a specific reason that a subordinate CA is a better idea?<br></div><div style="color:rgb(33,33,33);font-size:13px">Our PKI administrator's do not really like an additional subCA, because it is difficult to limit exposure/risks?</div><div style="color:rgb(33,33,33);font-size:13px">We still need to publish the subca to clients?</div><div style="color:rgb(33,33,33);font-size:13px"><br></div><div style="color:rgb(33,33,33);font-size:13px">What's your opinion: rootCA, or subordinate CA signed by the existing MS Certificate Services PKI?</div><div style="color:rgb(33,33,33);font-size:13px"><br></div><div style="color:rgb(33,33,33);font-size:13px">-- Pieter</div></div>