<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Aug 1, 2016 at 10:15 AM, Petr Vobornik <span dir="ltr"><<a target="_blank" href="mailto:pvoborni@redhat.com">pvoborni@redhat.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div class="gmail-HOEnZb"><div class="gmail-h5">On 07/31/2016 07:45 AM, Richard Harmonson wrote:<br>
> I having challenges resuming ipa-server-install --external-ca. I am reasonably<br>
> confident I am not providing the right certificate and/or format from my<br>
> off-line root CA using 389 and Dogtag.<br>
><br>
> Does anyone have instructions on how to accomplish the task of exporting the<br>
> correct certificates in the expected format?<br>
><br>
> Thank you.<br>
><br>
<br>
</div></div>The IPA procedure with prerequisites is described at<br>
<a target="_blank" rel="noreferrer" href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/install-server.html#install-server-external-ca">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/install-server.html#install-server-external-ca</a><br>
<br>
Or are you rather asking for specific PKI instructions?<br>
<br>
e.g.<br>
*<br>
<a target="_blank" rel="noreferrer" href="http://pki.fedoraproject.org/wiki/PKI_Certificate_CLI#Submitting_a_Certificate_Request">http://pki.fedoraproject.org/wiki/PKI_Certificate_CLI#Submitting_a_Certificate_Request</a><br>
<br>
*<br>
<a target="_blank" rel="noreferrer" href="http://pki.fedoraproject.org/wiki/CA_Certificate_Profiles#caCACert:_Manual_Certificate_Manager_Signing_Certificate_Enrollment">http://pki.fedoraproject.org/wiki/CA_Certificate_Profiles#caCACert:_Manual_Certificate_Manager_Signing_Certificate_Enrollment</a><br>
<span class="gmail-HOEnZb"><font color="#888888">--<br>
Petr Vobornik<br>
</font></span></blockquote></div><br><div>I read the suggested document, previously, but its an excellent shared reference for this discussion.<br><br>I
 have successfully submitted and approved the csr. Dogtag provides a web
 UI which provides a Base 64 encoded certificate or Base 64 encoded 
certificate with CA certificate chain in pkcs7 format.<br><br>For the 
servercert2010601.pem (the signed CSR request signing CA certificate 0x9) referenced in the article, do I  copy and paste 
(-----BEGIN .. END-----) the base 64 (not pkcs7) to a file using *.pem 
then submit using one of the two --external-cert-file?<br><br></div>For
 the cacert.pem (the Root CA signing certificate 0x1) referenced in the article, do I copy and paste the base 
64 with ca in pkcs7 format to a file using *.pkcs7 (or pem or does it matter?)
 then submit using the second --external-cert-file?<br><br>Your guidance is much appreciated.<br></div></div>