<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Title" content="">
<meta name="Keywords" content="">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:DengXian;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:Calibri;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Calibri;
        color:windowtext;}
span.msoIns
        {mso-style-type:export-only;
        mso-style-name:"";
        text-decoration:underline;
        color:teal;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:Calibri;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style>
</head>
<body bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt">I’m aware of the bug filed here but the work around as documented did not work:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><a href="https://bugzilla.redhat.com/show_bug.cgi?id=1322963">https://bugzilla.redhat.com/show_bug.cgi?id=1322963</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Looking at this ticket:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">https://fedorahosted.org/freeipa/ticket/5799<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">It seems that it won’t be fixed until freeipa 4.5.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Is there any workaround currently in freeipa 4.2/4.3 to somehow manually generate a CSR that can be recognized by Microsoft ?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">the ipa-server-install was able to generate a CSR for rootCA signing if one specifies --external-ca-type ms-cs, which works for MS AD CA.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">but no such option exist for ipa-cacert-manage.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">details below:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">I’m trying to upgrade our current IPA installation from self-signed to be signed by the CA operated by IT.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">So I followed the procedure here to generate the CSR to be signed:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><a href="http://www.freeipa.org/page/V4/CA_certificate_renewal">http://www.freeipa.org/page/V4/CA_certificate_renewal</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">However, when I submitted the CSR to be signed, the Microsoft Windows 2012R2 ADCA rejected the CSR with this error:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Certificate not issued (Denied) Denied by Policy Module  0x80094800, The request was for a certificate template that is not supported by the Active Directory Certi<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">olicy: ipaCSRExport/PANW_Subordinate Certification Authority.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">1401.5098.0:<2016/11/3, 11:11:3>: 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">1401.5602.0:<2016/11/3, 11:11:3>: 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">1401.16709.0:<2016/11/3, 11:11:3>: 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Certificate Request Processor: The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Denied by Policy Module  0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services policy: ipaCSREx<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">nate Certification Authority.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">here is the what CSR looks like(with keys taken out):<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Certificate Request:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">    Data:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">        Version: 0 (0x0)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">        Subject: O=XYZ.LOCAL, CN=Certificate Authority<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">        Subject Public Key Info:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">            Public Key Algorithm: rsaEncryption<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">                Public-Key: (2048 bit)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">                Modulus:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">        Attributes:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">            friendlyName             :unable to print attribute<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">        Requested Extensions:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">            X509v3 Key Usage:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">                Digital Signature, Non Repudiation, Certificate Sign, CRL Sign<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">            X509v3 Basic Constraints: critical<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">                CA:FALSE<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">            X509v3 Subject Key Identifier:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">                C9:8C:B7:B1:9D:4B:02:E2:74:FD:59:3E:1C:FC:9C:C9:98:EE:81:BD<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">            1.3.6.1.4.1.311.20.2:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">                ...i.p.a.C.S.R.E.x.p.o.r.t<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">    Signature Algorithm: sha256WithRSAEncryption<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">I tried the workaround documented on the webpage and asked the CSR to be process via command line certreq.  Same error.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">I’ve also tried this workaround:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><a href="https://bugzilla.redhat.com/show_bug.cgi?id=1322963">https://bugzilla.redhat.com/show_bug.cgi?id=1322963</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">where I manually generated the cert via certutil:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"># echo -e -n '\x1E\x0A\x00\x53\x00\x75\x00\x62\x00\x43\x00\x41' >ext-value<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"># certutil -R -d /etc/pki/pki-tomcat/alias -f <(grep -Po '(?<=internal=).*' /etc/pki/pki-tomcat/password.conf) -k 'caSigningCert cert-pki-ca' --extGeneric=1.3.6.1.4.1.311.20.2:not-critical:ext-value -o ipa.csr
 -a<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">which didn’t work either.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">I’m running IPA version 4.2.0 on Centos 7.2.1511<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">ipa-server-4.2.0-15.0.1.el7.centos.17.x86_64<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Also, If run the ipa-server-install –external-ca --external-ca-type ms-cs on a test box, it’ll generate a CSR that works, the only difference been that the X509V3 extentions are not there.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">                Exponent: 65537 (0x10001)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">        Attributes:<o:p></o:p></span></p>
<p class="MsoNormal" style="text-indent:27.0pt"><span style="font-size:11.0pt">a0:00<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">so I’m not sure if the same logic that’s used in ipa-server-install can be used in ipa-cacert-manage to generate the renew CSR<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Please help to generate a correct CSR for Microsoft Windows 2012R2 CA to recognize and sign so I can chain the existing self-signed CA to it. Thanks.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">-- <o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Efficiency is Intelligent Laziness</span><o:p></o:p></p>
</div>
</body>
</html>