<div dir="ltr"><br><div class="gmail_quote"><div dir="ltr">On Tue, May 2, 2017 at 11:13 PM Christina Fu <<a href="mailto:cfu@redhat.com">cfu@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    It's unclear from what's described to have the whole context to
    answer your specific questions, but I can answer the question
    regarding Dogtag. See below.</div></blockquote><div><br></div><div>I got perfect answers from both Fraser and you. Thanks a lot.</div><div><br></div><div>As I initially thought, a FreeIPA ( or Dogtag with less features....(?)) is still the best idea.</div><div><br></div><div>But our (MS) AD/PKI admins had some doubts, and were convinced you have to deploy subCA CA certificates to clients.</div><div><br></div><div>To conclude:</div><div>- it is much simpler for our team to setup FreeIPA CA services as a subCA also because we don't need to create and secure and offline CA in that case.<br></div><div>- we don't need to distribute certs to windows clients</div><div>- the rootCA (AD PKI) can always revoke our subCA when there is a problem/breach. Correct?</div><div><br></div><div>-- Pieter</div><div><br></div></div></div>