<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Mar 13, 2015 at 2:15 PM, Dmitri Pal <span dir="ltr"><<a href="mailto:dpal@redhat.com" target="_blank">dpal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000"><span class="">
    <div>Rob would definitely know more but IPA mostly provides certs for the
    infra it serves and has a limited use of the certs by itself.<br></div></span>
    So here is where I know it is used:<br>
    - You can issue certs for hosts and services and installer used to
    create certs for host automatically though these certs are not used
    for anything and we decided not to create them automatically any
    more.<br>
    - You need to trust IPA in browser so that you can do a forms based
    authentication if you do not have a kerberos ticket.<br>
    - To issue certs we use Dogtag and Dogtag understands only cert
    based authentication so internally the communication between the
    managment framework and Dogtag uses SSL. This is actually why the
    host-del fails. The host had a cert issued by IPA CA so as part of
    the del operation it tries to revoke the cert but since you
    reconfigured the sustem to use be CA less it can't and fails.<br>
    <br>
    The communication between the LDAP servers is Kerberos
    authenticated.</div></blockquote><div><br></div><div>I'll wait for Rob to weigh in, but wow, this would actually be huge for us and probably a lot of other users. Because if the above is true (and complete, I guess), then we could actually just run a CA-less FreeIPA setup, and then generate certs specifically and only for the web (apache) side, which is easy enough and we do it already for all other internal web services. That limits cert-related stuff to just one web SSL cert per IPA master.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">We have a special tool in Freeipa 4.2 to do this. The manual
    procedure is cumbersome and leads to issues like this.</div></blockquote><div><br></div><div>Yeah, I saw that, but we are still doing 3.0 on CentOS6.6, which is why we had to go down the manual path.</div><div> </div><div>Thanks,</div><div>johnny</div></div></div></div>