<div dir="ltr"><div><div>I will try to give a better explanation :<br><br></div><br>I have a CentOS 6.6 with ipa 3.0 named ipa-master. ipa-master has been installed with an external CA about 3 years ago and I will have to renew the certificate soon.<br><br> I have created a test server (ipa-dev) with the same configuration (centos 6.6 and ipa 3.0) to test the renewal process. I want the new ipa-dev sever  to be installed with an external CA.<br><br>In the same time my external CA has changed and wants the emailAddress field in the certificate request 's subject.<br><br></div><div>If it is not possible to add emailAddress in the subject, is it possible to migrate my ipa-master CA system from an external CA to a CA-less or self-signed CA ?<br><br></div><div>Thanks.<br> </div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-04-07 13:48 GMT+02:00 Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 04/07/2015 01:44 PM, James James wrote:<br>
> ok.<br>
><br>
> Is there a way to migrate from an external CA to a CA-less or a self-signed<br>
> CA  ?<br>
<br>
</span>Yes, you can use ipa-cacert-manage tool introduced in FreeIPA 4.1.0:<br>
<br>
<a href="https://www.freeipa.org/page/Howto/CA_Certificate_Renewal" target="_blank">https://www.freeipa.org/page/Howto/CA_Certificate_Renewal</a><br>
<a href="https://www.freeipa.org/page/V4/CA_certificate_renewal" target="_blank">https://www.freeipa.org/page/V4/CA_certificate_renewal</a><br>
<br>
(Although I am still not sure about your use case and if this would help you)<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> 2015-04-07 12:51 GMT+02:00 Martin Kosek <<a href="mailto:mkosek@redhat.com">mkosek@redhat.com</a>>:<br>
><br>
>> On 04/03/2015 11:39 AM, James James wrote:<br>
>>> Hello,<br>
>>><br>
>>> I want to initialize a new replica with an external CA. My Certificate<br>
>>> Authority wants a CSR with the field emailAddress in the subject like :<br>
>>><br>
>>> /C=FR/O=TESTO/OU=TESTOU/CN=*.<a href="http://example.com/emailAddress=none@none.com" target="_blank">example.com/emailAddress=none@none.com</a><br>
>><br>
>> I am not a bit confused. Do you plan to have FreeIPA *without* a CA or<br>
>> with own<br>
>> CA signed by external CA?<br>
>><br>
>> FreeIPA supports these kinds of setups right now:<br>
>> <a href="http://www.freeipa.org/page/PKI#Blending_in_PKI_infrastructure" target="_blank">http://www.freeipa.org/page/PKI#Blending_in_PKI_infrastructure</a><br>
>><br>
>>>  How can I do with the ipa-server-install command ?  I have been trying<br>
>> for<br>
>>> few days but I still can't.<br>
>>><br>
>>> Thanks for your help.<br>
>><br>
>> CCing Honza who should know the definitive answer. However, FreeIPA was not<br>
>> very flexible in configuring special subjects for it's CA certificate (i.e.<br>
>> cn=Certificate Authority, ou=...) or hosts in case of CA-less setup.<br>
>><br>
><br>
<br>
</div></div></blockquote></div><br></div>