<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 13, 2015 at 4:44 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><span style="color:rgb(34,34,34)">The CA-less install was improved in IPA 3.3. It can sorta work in 3.0</span><br></div></div>
but it will be bumpy. A number of bugs were fixed in<br>
ipa-server-certinstall, the tool used to replace the IPA certs with<br>
user-provided certs. Or you can pass in PKCS#12 files during the install<br>
but the root CA is implicit in that case so you need to be careful in<br>
creating the file.<br>
<br>
You still need an SSL cert for LDAP as well. SSL is used to bootstrap<br>
replication when a new master is set up. When that is done the agreement<br>
is converted to using GSSAPI.<br></blockquote><div><br></div><div>Aha, I was about to ask about this since a CA-less install still requires dirsrv cert. Thanks.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The clients (depending on version) will still ask for a host cert on<br>
install but it is generally treated as a non-fatal error if one isn't<br>
obtained.<br></blockquote><div><br></div><div>Was also going to ask about this since the v3 CA-less wiki page mentions the need to obtain host certs but is not very clear about what it was used for.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Otherwise it should work, but as Dmitri points out you are limiting<br>
yourself upgrade-wise. The only migration paths from one version of IPA<br>
to another is replication, in which case you still wouldn't be able to<br>
add a CA, or via the LDAP migration routines which only migrate users<br>
and groups currently.<br></blockquote><div><br></div><div>Not being able to do the upgrade easily will definitely be a showstopper. Ok, I'm going to go back to attempting to sign the IPA CA with our own, then, and I'll open a separate thread if that doesn't work. I may just start from scratch with that. </div></div><br></div><div class="gmail_extra">Thank you Dmitri and Rob for the clear/concise info.</div><div class="gmail_extra"><br></div><div class="gmail_extra">johnny</div></div>