<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<div name="messageBodySection">I'll check and report back Tuesday.</div>
<div name="messageSignatureSection"><br />
Bret Wortman 
<div>http://wrapbuddies.co/</div>
</div>
<div name="messageReplySection"><br />
On Jun 3, 2016, 1:04 PM -0400, Rob Crittenden <rcritten@redhat.com>, wrote:<br />
<blockquote type="cite">Bret Wortman wrote:<br />
<blockquote type="cite"><br />
<br />
On 06/03/2016 11:02 AM, Rob Crittenden wrote:<br />
<blockquote type="cite">Bret Wortman wrote:<br />
<blockquote type="cite">I'm not sure I'd call what we have "success" just yet. ;-)<br />
<br />
You're right -- F21, IPA 4.1.4-1. I'll try the steps you outlined and<br />
see how we go.<br />
<br />
Rob, would you have just used the existing "localhost.key" instead of<br />
generating a new one?<br /></blockquote>
<br />
No, I think you did the right thing, the default keysize was probably<br />
still 1024 in F21. I double-checked the getcert-request man page and<br />
it looks like it will use an existing key if one exists in the key<br />
file passed in so I was wrong about that bit. You just didn't need to<br />
use req to generate a CSR as certmonger will do that for you.<br />
<br /></blockquote>
Good to know.<br />
<br />
I tried the update-ca-trust on both the yum server and on my workstation<br />
but nothing changed even after an httpd restart. I did take a peek<br />
inside /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt and<br />
didn't see my /etc/ipa/ca.crt in there (which may not be a problem, but<br />
I confess I'm not sure what should be where at this point).<br /></blockquote>
<br />
You'd only need to do this on the machine acting as a client.<br />
<br />
I'm pretty sure yum uses /etc/pki/nssdb. Is the IPA CA in there and trusted?<br />
<br />
$ certutil -L -d /etc/pki/nssdb<br />
<br />
rob<br />
<br />
<blockquote type="cite"><br />
<br />
Bret<br />
<br />
<blockquote type="cite">rob<br />
<br />
<blockquote type="cite"><br />
<br />
On 06/03/2016 09:48 AM, Rob Crittenden wrote:<br />
<blockquote type="cite">Bret Wortman wrote:<br />
<blockquote type="cite">So for our internal yum server, I created a new key and cert<br />
request (it<br />
had a localhost key and cert but I wanted to start clean):<br />
<br />
# openssl genrsa 2048 > /etc/pki/tls/private/server.key<br />
# openssl req -new -x509 -nodes -sha1 -days 365 -key<br />
/etc/pki/tls/private/server.key > /etc/pki/tls/certs/server.crt<br />
# ipa-getcert request -f /etc/pki/tls/certs/server.crt -k<br />
/etc/pki/tls/private/server.key -r<br /></blockquote>
<br />
I try not to argue with success but I'd be curious what is actually<br />
going on here. You generate a CSR and call it a certificate. It is<br />
probably the case that certmonger is ignoring it altogether and<br />
generating its own CSR.<br />
<br />
<blockquote type="cite">ipa-getcert list shows it approved. I set up SSL in apache to use the<br />
above .key and .crt, but when I try to run yum against this using ssl:<br />
<br />
# yum search ffmpeg<br />
Loaded plugins: langpacks<br />
https://yum.private.net/fedora/releases/21/Everything/x86_64/os/repodata/repomd.xml:<br />
<br />
<br />
[Errno 14] curl#60 - "Peer's certificate issuer has been marked as<br />
not trusted by the user."<br />
:<br />
<br />
Is there a step I need to take on the clients so they'll accept this<br />
cert as trusted? I thought having it be signed by the IPA CA would<br />
have<br />
taken care of that.<br />
<br />
# ls -l /etc/ipa/ca.crt<br />
-rw-r--r-- 1 root root 2546 Apr 28 2014 /etc/ipa/ca.crt<br />
#<br /></blockquote>
<br />
Pretty much only IPA tools know to use this file.<br />
<br />
My knowledge is a bit stale on adding the IPA CA to the global trust<br />
but I'm pretty sure it is done automatically now and I think it was in<br />
the 4.2 timeframe. I'm assuming this is Fedora 21 so it doesn't have<br />
this code.<br />
<br />
Look at this,<br />
https://fedoraproject.org/wiki/Features/SharedSystemCertificates<br />
<br />
The idea is to add the IPA CA to that and then all tools using SSL<br />
would "just work".<br />
<br />
Something like:<br />
<br />
# cp /etc/ipa/ca.crt /usr/share/pki/ca-trust-source/anchors/ipa-ca.pem<br />
# update-ca-trust<br />
<br />
You'd need to remember to manually undo this if you ever redo your IPA<br />
install (and get a new CA):<br />
<br />
# rm /etc/ipa/ca.crt /usr/share/pki/ca-trust-source/anchors/ipa-ca.pem<br />
# update-ca-trust<br />
<br />
Like I said, I'm pretty sure this is all automatic in some more recent<br />
versions of IPA.<br />
<br />
rob<br />
<br />
<blockquote type="cite"><br />
---<br />
Bret<br />
<br />
On 06/02/2016 07:25 PM, bret.wortman@damascusgrp.com wrote:<br />
<blockquote type="cite">Cool. I'll give this a go in the morning.<br />
<br />
Bret Wortman<br />
http://wrapbuddies.co/<br />
<br />
On Jun 2, 2016, 6:24 PM -0400, Fraser Tweedale <ftweedal@redhat.com>,<br />
wrote:<br />
<blockquote type="cite">On Thu, Jun 02, 2016 at 05:35:01PM -0400,<br />
bret.wortman@damascusgrp.com wrote:<br />
<blockquote type="cite">Sorry, let me back up a step. We need to implement hype<br />
everywhere. All our web services. And clients need to get<br />
keys&certs automatically whether through IPA or Puppet. These<br />
systems use IPA for everything but authentication (to keep most<br />
users off). I'm trying to wuss out the easiest way to make this<br />
happen smoothly.<br />
<br /></blockquote>
Hi Bret,<br />
<br />
You can use the IPA CA to sign service certificates. See<br />
http://www.freeipa.org/page/Certmonger#Request_a_new_certificate.<br />
<br />
IPA-enrolled machines already have the IPA certificate in their<br />
trust store. If the clients are IPA-enrolled, everything should<br />
Just Work, otherwise you can distribute the IPA CA certificate to<br />
clients via Puppet** or whatever means you prefer.<br />
<br />
** you will have to work out how, because I do not know Puppet :)<br />
<br />
Cheers,<br />
Fraser<br />
<br />
<blockquote type="cite"><br />
<br />
On Jun 2, 2016, 5:31 PM -0400, Rob Crittenden<rcritten@redhat.com>,<br />
wrote:<br />
<blockquote type="cite">Bret Wortman wrote:<br />
<blockquote type="cite">Is it possible to use our freeipa CA as a trusted CA to sign our<br />
internal SSL certificates? Our system runs on a private network<br />
and so<br />
using the usual trusted sources isn't an option. We've been using<br />
self-signed, but that adds some additional complications and we<br />
thought<br />
this might be a good solution.<br />
<br />
Is it possible, and, since most online guides defer to "submit<br />
the CSR<br />
to Verisign" or whomever, how would you go about producing one in<br />
this way?<br /></blockquote>
<br />
Not sure I understand the question. The IPA CA is also<br />
self-signed. For<br />
enrolled systems though at least the CA is pre-distributed so<br />
maybe<br />
that<br />
will help.<br />
<br />
rob<br />
<br /></blockquote>
</blockquote>
<br />
<blockquote type="cite">--<br />
Manage your subscription for the Freeipa-users mailing list:<br />
https://www.redhat.com/mailman/listinfo/freeipa-users<br />
Go to http://freeipa.org for more info on the project<br /></blockquote>
<br /></blockquote>
<br />
<br /></blockquote>
<br />
<br />
<br /></blockquote>
<br /></blockquote>
<br /></blockquote>
<br /></blockquote>
<br /></blockquote>
<br /></blockquote>
</div>
</body>
</html>