<div dir="ltr">I actually think I can get this going at this time if I can just figure out how to submit a subca csr to dogtag, sign it, and acquire it.  Documentation on that seems to be hard to come by, but I'm digging to avoid eating up this thread (and trying to RTFM where possible).  I still stand by my request for consulting time if anyone has more intimate knowledge, however if someone can point me in the best direction for getting a openssl based subca's csr submitted, signed, acquired, I think I can get the rest going.  Your help would be greatly, greatly appreciated.<div><br></div><div>Chris</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 9, 2015 at 12:18 PM, Christopher Young <span dir="ltr"><<a href="mailto:mexigabacho@gmail.com" target="_blank">mexigabacho@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Would anyone happen to have any guides on how one could get through this process?  I'm a one-man IT shop at the moment, so I'm building up a tremendous amount of infrastructure at once.  I'm thinking that the option of creating a subCA with something simple like openssl would be the best option, but figuring out that process in a minimal amount of time is going to be tough.<div><br></div><div>I'm going to try and give myself some reading assignments and push that forward, but if anyone happens to have a good handle on that process/commands/etc. and would be interesting in double a couple of hours of consulting to me, I would be very interested in listening provided we could come up with a reasonable rate/timeframe.  If anyone is interested, please contact me directly off-list.</div><div><br></div><div>Thanks again.  These answers/ideas have been most helpful.</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 6, 2015 at 9:30 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On 02/06/2015 12:53 AM, Christopher Young wrote:<br>
> Obvious next question:  Any plans to implement that functionality or advice<br>
> on how one might get some level of functionality for this?  Would it be<br>
> possible to create another command-line based openssl CA that could issue<br>
> these but using IPA as the root CA for those?<br>
<br>
</span>As for FreeIPA plans, we plan to vastly improve our flexibility to process<br>
certificates in next upstream version - FreeIPA 4.2. In next version, one<br>
should be able to create other certificate profiles (from FreeIPA default<br>
service cert profile) or even subCAs to do what you want.<br>
<br>
As for current workarounds, you would have to issue and sign a for example NSS<br>
or openssl based subCA and then sign user certs there. But I would leave Fraser<br>
or Jan to tell if this would be really possible.<br>
<div><div><br>
> I'm just trying to provide a solution for situations where we would like to<br>
> utilize client/user cert authentication for situations like secure apache<br>
> directory access as well as user VPN certificates.  Any advise or ideas are<br>
> great appreciated.<br>
><br>
> Thanks again!<br>
><br>
> On Thu, Feb 5, 2015 at 4:09 PM, Rob Crittenden <<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>> wrote:<br>
><br>
>> Christopher Young wrote:<br>
>>> Some of this might be rudimentary, so I apologize if this is answered<br>
>>> somewhere, though I've tried to search and have not had much luck...<br>
>>><br>
>>> Basically,  I would like to be able to issue user certificates (Subject:<br>
>>> email=sblblabla@blabla.local) in order to use client SSL security on<br>
>>> some things.  I'm very new to FreeIPA, but have worked with external CAs<br>
>>> in the past for similar requests, however this is my first entry into<br>
>>> creating/running a localized CA within an organization.<br>
>><br>
>> IPA doesn't issue user certificates yet, only server certificates.<br>
>><br>
>>> I was wondering if this is possible via the command line, and if so, how<br>
>>> to go about submitting the request and receiving the certificate.  Any<br>
>>> guidance or assistance would be greatly appreciated!<br>
>>><br>
>>><br>
>>> Additionally, just as a matter of cleanliness, is there any way possible<br>
>>> to just completely wipe out the existence of a certificate/request from<br>
>>> FreeIPA.  I have done some trial-and-error and obviously have made<br>
>>> mistakes that I'd prefer to clean up after.  I've revoked those certs,<br>
>>> however the perfectionist in me hates seeing them there.  I'm quite<br>
>>> certain the answer is 'no', but I thought I would ask anyway.<br>
>><br>
>> Right, the answer is no. In fact it is a good thing that all<br>
>> certificates are accounted for.<br>
>><br>
>> rob<br>
>><br>
>><br>
><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>