<div dir="ltr">I, too, am very much in need of user certificates.  If it is possible to setup an additional FreeIPA server to test this out, then I could help out in testing the feature.  I obviously don't want to impact my production environment too much, but it is rather stagnant, so if I can backup the LDAP db every once in a while, that could work.   Otherwise, I could possible find some time to set up another instance for testing.  I definitely need this feature!  Thank you so much for working on it.<div><br></div><div>Chris</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 1, 2015 at 6:34 PM, Fraser Tweedale <span dir="ltr"><<a href="mailto:ftweedal@redhat.com" target="_blank">ftweedal@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Mon, Jun 01, 2015 at 05:19:20PM +0300, Alexander Bokovoy wrote:<br>
> On Mon, 01 Jun 2015, Thibaut Pouzet wrote:<br>
> >Hi,<br>
> ><br>
> >I am currently trying to use FreeIPA to issue client certificates for<br>
> >some internal application we have. (More precisely, SSL double<br>
> >authentication between two of my applications, client side would be<br>
> >java, server-side would be apache httpd.) I considered two options :<br>
> ><br>
> >1. Issue client certificates directly from FreeIPA : It do not seems<br>
> >that it's currently "supported". I can actually generate a client<br>
> >certificate by creating a new principal for a host, and use ipa-getcert<br>
> >to generate a certificate for it. However, this certificate is valid for<br>
> >both user and server authentication, and I cannot change it.<br>
> >Furthermore, I cannot change the CN of the certificate, it is the<br>
> >server's hostname for which the pincipal has been generated. That's a<br>
> >poor solution.<br>
> ><br>
> ><br>
> >2. Issue a Sub-CA signed by the IPA CA, that I would use with openssl to<br>
> >do whatever I want to do. I tried to use the dogtag profiles with the<br>
> >ipa-getcert -T option, but the profiles were ignored when I tried to use<br>
> >them. And I always got 'regular' certificates.<br>
> ><br>
> >I did some research, and found this RFE :<br>
> ><a href="http://www.freeipa.org/page/V4/Sub-CAs" target="_blank">http://www.freeipa.org/page/V4/Sub-CAs</a><br>
> ><br>
> >And this Sub-CA notions seems to be perfect for what I want to do. When<br>
> >I'm looking at the ticket, it seems that it is quietly sleeping<br>
> >somewhere, remaining not updated.<br>
> ><br>
> >I would love to see this feature in FreeIPA v4.2, has anyone a status on<br>
> >this RFE and it's current status ?<br>
> ><br>
</div></div>Hi Thibaut,<br>
<br>
I'm working on user certificates, profiles and sub-CAs.  User<br>
certificates and custom profiles are a near-certainty to make 4.2.<br>
Sub-CAs will not make it into the alpha; hopefully I can finish the<br>
feature and squeeze it into 4.2 but it's a possibility that sub-CAs<br>
will arrive in a follow-up release.<br>
<br>
Would you be willing to help test all these features and provide<br>
feedback?  I will soon be preparing a COPR with test builds so if<br>
you would like to help in this way, I can help you get set up to do<br>
this.  I (we) would really appreciate your feedback.<br>
<br>
Cheers,<br>
Fraser<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
> Design page is there, the work happens on freeipa-devel@. There are<br>
> multiple patches in the review process right now. If you are willing to<br>
> help with testing them, welcome to the development list.<br>
><br>
> --<br>
> / Alexander Bokovoy<br>
><br>
> --<br>
> Manage your subscription for the Freeipa-users mailing list:<br>
> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
> Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>