<div dir="ltr">Hi Günther,<div><br></div><div>I wrote this wrapper last year, maybe this will help.</div><div><br></div><div><a href="https://github.com/uZer/rootools/blob/master/pki/freeipa/gencerts.sh">https://github.com/uZer/rootools/blob/master/pki/freeipa/gencerts.sh</a><br></div><div><br></div><div>If you use cnames:</div><div>==================================================================</div><div><div>$ ipa host-add cname.domain --force</div><div>$ ipa service-add service/fqdn</div><div>$ ipa service-add service/cname.domain --force</div><div>$ ipa service-add-host service/cname.domain --host fqdn</div></div><div><br></div><div><div>In nss.conf</div><div>==================================================================</div><div>#NSSPassPhraseDialog builtin<br></div><div>NSSPassPhraseDialog file:/etc/apache2/password.conf</div><div> </div><div> </div><div>In your virtual host:</div><div>==================================================================</div><div><br></div><div>NSSEngine on</div><div>NSSNickname certifnickname</div><div>NSSCertificateDatabase /path/to/db</div><div>NSSProtocol TLSv1.1,TLSv1.2</div><div> </div><div>NSSVerifyClient none</div><div> </div><div># Update this with current recommended ciphersuites</div><div>NSSCipherSuite +rsa_rc4_128_md5,+rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,+fips_3des_sha,-fips_des_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-rsa_des_56_sha,-rsa_rc4_56_sha,+rsa_aes_128_sha,+rsa_aes_256_sha   ...</div></div><div><br></div><div>Hope this is still correct, feel free to push request ;)</div><div><br></div><div>Regards,</div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><font face="arial, helvetica, sans-serif"><div><span style="font-family:arial"><font face="arial, helvetica, sans-serif"><div>--</div><div><font color="#666666">Youenn Piolet</font></div><div><font size="1" color="#999999"><a href="mailto:piolet.y@gmail.com" target="_blank">piolet.y@gmail.com</a></font></div><div style="font-size:large"><span style="font-size:small"><span style="font-family:arial"><div><font face="tahoma, sans-serif"><span style="font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><span style="font-family:tahoma,sans-serif;font-size:small"><font color="#666666"><span style="color:rgb(142,142,142);font-family:arial,verdana,tahoma,sans-serif;font-size:11px"><em><br></em></span></font></span></span></font></div><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font><font color="#8E8E8E" face="arial, verdana, tahoma, sans-serif"></font></span></div></font></span></div></font></div></div>
<br><div class="gmail_quote">2016-06-21 19:41 GMT+02:00 Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Günther J. Niederwimmer wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello Rob,<br>
<br>
Am Mittwoch, 1. Juni 2016, 09:54:58 CEST schrieb Rob Crittenden:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Günther J. Niederwimmer wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
Am Dienstag, 31. Mai 2016, 11:06:09 CEST schrieb Rob Crittenden:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Günther J. Niederwimmer wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello<br>
I found any Help for the IPA Certificate but I found no way to import<br>
the<br>
IPA CA ?<br>
I like to create a webserver with a owncloud virtualhost and other..<br>
<br>
But it is for me not possible to create the /etc/httpd/alias correct ?<br>
<br>
I found this in IPA DOCS<br>
<br>
certutil -A -d . -n '<a href="http://EXAMPLE.COM" rel="noreferrer" target="_blank">EXAMPLE.COM</a> IPA CA' -t CT,, -a < /etc/ipa/ca.crt<br>
<br>
but with this command line I have a Error /etc/ipa/ca.crt have wrong<br>
format ?<br>
<br>
Have any a link with a working example<br>
</blockquote>
<br>
Does the file /etc/ipa/ca.crt exist? It is installed there on enrolled<br>
clients so the documentation is written from that perspective.<br>
</blockquote>
<br>
Yes.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
You can grab a copy from any enrolled system, including an IPA Master.<br>
Otherwise the command looks ok assuming you were sitting in<br>
/etc/httpd/alias when the command was executed (-d .).<br>
</blockquote>
<br>
Yes ;-).<br>
but certutil mean it is a wrong format from the Certificate<br>
</blockquote>
<br>
$ mkdir /tmp/testdb && cd /tmp/testdb<br>
$ certutil -N -d .<br>
$ certutil -A -d . -n '<a href="http://EXAMPLE.COM" rel="noreferrer" target="_blank">EXAMPLE.COM</a> IPA CA' -t CT,, -a < /etc/ipa/ca.crt<br>
</blockquote>
<br>
On my system I have this message after install ca.crt<br>
<br>
p11-kit: objects of this type cannot be created ?<br>
is this correct ?<br>
</blockquote>
<br></div></div>
I'm not sure.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
A other question, have I to change the Attribute (?), IPA-server create /<br>
IMPORT this ca.crt with -t "CT,C,C"<br>
</blockquote>
<br></span>
It isn't super important. The order of those fields is SSL, S/MIME, code-signing. Chances are S/MIME will never be used and code-signing is used in some older releases but only once at install, so not having those set isn't a big deal.<br>
<br>
If you want things to be consistent you can use certutil -M -d . -t CT,C,C -n '<a href="http://EXAMPLE.COM" rel="noreferrer" target="_blank">EXAMPLE.COM</a> IPA CA'<span class="HOEnZb"><font color="#888888"><br>
<br>
rob</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
$ certutil -L -d .<br>
<br>
Certificate Nickname                                         Trust<br>
Attributes<br>
<br>
SSL,S/MIME,JAR/XPI<br>
<br>
<a href="http://EXAMPLE.COM" rel="noreferrer" target="_blank">EXAMPLE.COM</a> IPA CA                                           CT,,<br>
<br>
I guess look at what is in /etc/ipa/ca.crt and ensure it is valid. You<br>
can use openssl for that:<br>
<br>
$ openssl x509 -text -inform PEM -in /etc/ipa/ca.crt<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Something is wrong on my system !!<br>
<br>
for me it is not possible to have on a enrolled ipa-client a working<br>
webserver (apache) with mod_NSS<br>
<br>
The last Tests apache mean it is the wrong "passwd" for the DB and don't<br>
start?<br>
<br>
So now I start again with a new clean /etc/httpd/alias<br>
</blockquote>
<br>
Not knowing how you created the database or what your nss.conf looks<br>
like it's hard to say what is going on. If you set a NSS database<br>
password then you need to tell mod_nss about it.<br>
<br>
Typically you'd set this in nss.conf:<br>
<br>
NSSPassPhraseDialog "file:/etc/httpd/conf/password.conf"<br>
<br>
and create /etc/httpd/conf/password.conf with contents like:<br>
<br>
internal:SecretPassword123<br>
<br>
Ensure that the file is owned by apache:apache and mode 0400.<br>
</blockquote>
<br>
This is the best INFO for this file ;-)<br>
<br>
Thanks<br>
<br>
</blockquote>
<br>
-- <br></div></div><div class="HOEnZb"><div class="h5">
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>