<div dir="ltr">ok. <br><br>Is there a way to migrate from an external CA to a CA-less or a self-signed CA  ? <br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-04-07 12:51 GMT+02:00 Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 04/03/2015 11:39 AM, James James wrote:<br>
> Hello,<br>
><br>
> I want to initialize a new replica with an external CA. My Certificate<br>
> Authority wants a CSR with the field emailAddress in the subject like :<br>
><br>
> /C=FR/O=TESTO/OU=TESTOU/CN=*.<a href="http://example.com/emailAddress=none@none.com" target="_blank">example.com/emailAddress=none@none.com</a><br>
<br>
</span>I am not a bit confused. Do you plan to have FreeIPA *without* a CA or with own<br>
CA signed by external CA?<br>
<br>
FreeIPA supports these kinds of setups right now:<br>
<a href="http://www.freeipa.org/page/PKI#Blending_in_PKI_infrastructure" target="_blank">http://www.freeipa.org/page/PKI#Blending_in_PKI_infrastructure</a><br>
<span class=""><br>
>  How can I do with the ipa-server-install command ?  I have been trying for<br>
> few days but I still can't.<br>
><br>
> Thanks for your help.<br>
<br>
</span>CCing Honza who should know the definitive answer. However, FreeIPA was not<br>
very flexible in configuring special subjects for it's CA certificate (i.e.<br>
cn=Certificate Authority, ou=...) or hosts in case of CA-less setup.<br>
</blockquote></div><br></div>