<div dir="ltr"><div>Hi:</div><div><br></div><div>As stated in the guidline online.../root/ipa.crt is the server cert generated by 3rd patry CA ? or the CA cert itself that need to pair with server cert later. thx</div><div><br></div><div><br></div><div>Give the CSR to your external CA and have them issue you a new certificate. We assume that the resulting certificate is saved into the <code>/root/ipa.crt</code> file. We also assume that the <code>/root/external-ca.pem</code> file contains the external CA certificate chain in the PEM format. The renewal needs to be done on the IdM CA designated for managing renewals. One way to identify the first-installed IdM server is to see if the value for <code>subsystem.select</code> is <code>New</code>:</div><div><br></div><div><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/cas.html">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/cas.html</a></div></div>