<div dir="ltr">Thank you Martin that's very helpful.<div><br></div><div>The annoying thing about cut/paste from web ui is that the cert is not wrapped at 60 chars like it should be, but I guess I'll have to wait for the save certificate functionality.</div><div>Any idea of then that's planned for?</div><div><br></div><div>Regards</div><div>Alessandro</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 15 March 2016 at 08:50, Martin Babinsky <span dir="ltr"><<a href="mailto:mbabinsk@redhat.com" target="_blank">mbabinsk@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 03/15/2016 08:39 AM, Alessandro De Maria wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
Hello,<br>
<br>
I would like to have authenticated users to upload a csr request and<br>
have their certificate automatically signed. Their certificate would<br>
expire in x days.<br>
<br>
Given the short life of the certificate, I would then like them to be<br>
able to easily download the certificate.<br>
<br>
Any suggestion on how to do it?<br>
I would prefer the shell script approach but also having it self<br>
serviced on the web ui would be great.<br>
<br>
Regards<br>
<br>
<br>
--<br>
Alessandro De Maria<br>
</div></div><a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a> <mailto:<a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a>><br>
<br>
<br>
</blockquote>
<br>
Hi Alessandro,<br>
<br>
for FreeIPA 4.2+ you can use the following links as a guide to set up a custom profile and CA ACL rules so that users can request certificates for themselves:<br>
<br>
<a href="http://www.freeipa.org/page/V4/User_Certificates#How_to_Test" rel="noreferrer" target="_blank">http://www.freeipa.org/page/V4/User_Certificates#How_to_Test</a><br>
<a href="https://blog-ftweedal.rhcloud.com/2015/08/user-certificates-and-custom-profiles-with-freeipa-4-2/" rel="noreferrer" target="_blank">https://blog-ftweedal.rhcloud.com/2015/08/user-certificates-and-custom-profiles-with-freeipa-4-2/</a><br>
<br>
The user then can generate CSR request e.g. using OpenSSL and use 'ipa cert-request' to send it to IPA CA. If you specify 'store=True' when adding the custom certificate profile, the certificate will be added to the user entry as 'usercertificate;binary' attribute which he can view from CLI/WebUI as PEM and save it to a file by copy-pasting it (The functionality to save the certificate directly to a file is under development).<br>
<br>
It should be possible to modify the certificate profile to restrict the maximum validity of the issued certificate but I have no knowledge about that. I have CC'ed Fraser Tweedale (the blog post author), he may help you with this.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
Martin^3 Babinsky<br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Alessandro De Maria<br><a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a></div>
</div>