<div dir="ltr"><div>It's a little bit more clear. Thanks.<br><br></div><div>I have created a new ipa 4.1 replica but when I want run :<br><br># ipa-cacert-manage renew --self-signed<br><br></div><div>I've got this message : <br><br></div><div>[root@ipa-devel-centos7 ~]# ipa-cacert-manage renew --self-signed<br>CA is not configured on this system<br><br></div><div>If I want to install the CA I've got this message : <br><br>[root@ipa-devel-centos7 system]# ipa-ca-install --password=mypassorwd -U<br>CA is already installed.<br><br></div><div>Should I have to promote the replica to a standalone master before installing the CA ?<br><br></div><div>Any hints will be appreciated...<br></div><div class="gmail_extra"><br><br></div><div class="gmail_extra">James <br><br><br></div><div class="gmail_extra"><div class="gmail_quote">2015-04-08 7:27 GMT+02:00 Jan Cholasta <span dir="ltr"><<a href="mailto:jcholast@redhat.com" target="_blank">jcholast@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Dne 7.4.2015 v 15:31 Martin Kosek napsal(a):<span class=""><br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
On 04/07/2015 02:08 PM, James James wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I will try to give a better explanation :<br>
<br>
<br>
I have a CentOS 6.6 with ipa 3.0 named ipa-master. ipa-master has been<br>
installed with an external CA about 3 years ago and I will have to renew<br>
the certificate soon.<br>
<br>
  I have created a test server (ipa-dev) with the same configuration (centos<br>
6.6 and ipa 3.0) to test the renewal process. I want the new ipa-dev sever<br>
to be installed with an external CA.<br>
<br>
In the same time my external CA has changed and wants the emailAddress<br>
field in the certificate request 's subject.<br>
</blockquote>
<br>
CSR during installation with external CA is produced by Dogtag, so you are<br>
constrained with the options and capabilities provided by ipa-server-install.<br>
Maybe it would be possible to modify the CSR and update the Subject manually,<br>
but I expect it would crash the installer later (JanC may know more (CCed))<br>
</blockquote>
<br></span>
The subject name identifies the CA in server (and other) certificates. If you change it, you break the trust chain from the CA certificate to the server certificates and that will break all SSL in IPA.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
If it is not possible to add emailAddress in the subject, is it possible to<br>
migrate my ipa-master CA system from an external CA to a CA-less or<br>
self-signed CA ?<br>
</blockquote>
<br>
It is, with ipa-cacert-manage - see links below.<br>
</blockquote>
<br></span>
You can change your external CA to self-signed CA in IPA 4.1 or newer by running:<br>
<br>
    # ipa-cacert-manage renew --self-signed<br>
<br>
You can't change external CA to CA-less.<div class=""><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Thanks.<br>
<br>
2015-04-07 13:48 GMT+02:00 Martin Kosek <<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>>:<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
On 04/07/2015 01:44 PM, James James wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
ok.<br>
<br>
Is there a way to migrate from an external CA to a CA-less or a<br>
</blockquote>
self-signed<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
CA  ?<br>
</blockquote>
<br>
Yes, you can use ipa-cacert-manage tool introduced in FreeIPA 4.1.0:<br>
<br>
<a href="https://www.freeipa.org/page/Howto/CA_Certificate_Renewal" target="_blank">https://www.freeipa.org/page/<u></u>Howto/CA_Certificate_Renewal</a><br>
<a href="https://www.freeipa.org/page/V4/CA_certificate_renewal" target="_blank">https://www.freeipa.org/page/<u></u>V4/CA_certificate_renewal</a><br>
<br>
(Although I am still not sure about your use case and if this would help<br>
you)<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
2015-04-07 12:51 GMT+02:00 Martin Kosek <<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>>:<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
On 04/03/2015 11:39 AM, James James wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Hello,<br>
<br>
I want to initialize a new replica with an external CA. My Certificate<br>
Authority wants a CSR with the field emailAddress in the subject like :<br>
<br>
/C=FR/O=TESTO/OU=TESTOU/CN=*.<a href="http://example.com/emailAddress=none@none.com" target="_blank">e<u></u>xample.com/emailAddress=none@<u></u>none.com</a><br>
</blockquote>
<br>
I am not a bit confused. Do you plan to have FreeIPA *without* a CA or<br>
with own<br>
CA signed by external CA?<br>
<br>
FreeIPA supports these kinds of setups right now:<br>
<a href="http://www.freeipa.org/page/PKI#Blending_in_PKI_infrastructure" target="_blank">http://www.freeipa.org/page/<u></u>PKI#Blending_in_PKI_<u></u>infrastructure</a><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  How can I do with the ipa-server-install command ?  I have been trying<br>
</blockquote>
for<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
few days but I still can't.<br>
<br>
Thanks for your help.<br>
</blockquote>
<br>
CCing Honza who should know the definitive answer. However, FreeIPA was<br>
</blockquote></blockquote>
not<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
very flexible in configuring special subjects for it's CA certificate<br>
</blockquote></blockquote>
(i.e.<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
cn=Certificate Authority, ou=...) or hosts in case of CA-less setup.<br>
<br>
</blockquote>
<br>
</blockquote>
<br>
<br>
</blockquote>
<br>
</blockquote>
<br>
</blockquote>
<br>
<br></div></div><span class=""><font color="#888888">
-- <br>
Jan Cholasta<br>
</font></span></blockquote></div><br></div></div>