How to install DigiCert certificates for CentOS 7 FreeIPA web server

To start from the beginning, I had to migrate users etc from a single FreeIPA 3.0 master that has broken CA and did not had any functional replicas. I spent clearly too much time on trying to rescue that ecosystem.
However, once I thought - could I just migrate without disturbing users too much? So I tried it out, installing brand new set of virtual machines with CentOS 7 and latest FreeIPa 4.5.4. Migration worked more or less flawlessly, following FreeIPA migration Howto at https://www.freeipa.org/page/Howto/Migration#Migrating_from_other_FreeIPA_to_FreeIPA
I did it like this:

ipa config-mod --enable-migration=TRUE

ipa migrate-ds --with-compat --user-container="cn=users,cn=accounts,dc=MYIPA,dc=MY" --group-container="cn=groups,cn=accounts,dc=MYIPA,dc=MY" ldap://ipa0.MYIPA.MY:389

ipa migrate-ds --bind-dn="cn=Directory Manager" --user-container=cn=users,cn=accounts --group-container=cn=groups,cn=accounts --group-objectclass=posixgroup --user-ignore-attribute={krbPrincipalName,krbextradata,krblastfailedauth,krblastpwdchange,krblastsuccessfulauth,krbloginfailedcount,krbpasswordexpiration,krbticketflags,krbpwdpolicyreference,mepManagedEntry} --user-ignore-objectclass=mepOriginEntry --with-compat ldap://ipa0.MYIPA.MY

Kerberos information from old IPA 3 was discarded, because it was not possible to save old CA certs...

Because I decided to install new IPA master using it's own CA, IPA management web-page had un-trusted/unknown certificates for all users. And it is really not nice to tell your users to visit a suspicious web-page for updating/migrating their Kerberos passwords. There is a known solution for that - configuring web server and directory server to use trusted third-party certificates. There is even a Howto for that, namely https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP
Most probably everything works well, when server certificate depends only on single CA certificate, but it is not that straightforward when server certificate is obtained from company that is using intermediate certificates. Like e.g. DigiCert ones.

So, I ordered DigiCert certificate for IPA master server (be it here master.ipa.NEWIPA.MY) and tried to install it to mod_nss database. I don't remember how many times I tried and failed (Googled a lot, found few question about the topic but not a single solution), but finally I figured out how to do that. So following is how I did it.

1. Downloading all three certs - DigiCert Assured ID Root CA, TERENA SSL CA 3 and master.ipa.NEWIPA.MY - from DigiCert portal, all three in .PEM format. Commanding ipa-certupdate is definitely needed after adding each cert in the entire chain:
   ipa-cacert-manage -n DigiCert-Assured-ID-Root-CA -t C,, install DigiCert_Assured_ID_Root_CA.pem
   ipa-certupdate
   ipa-cacert-manage -n TERENA_SSL_CA_3 -t C,, install TERENA_SSL_CA_3.pem
   ipa-certupdate
2. Checking that all the required certs are installed in addition to IPA CA
   [root@master dir]# certutil -L -d /etc/httpd/alias
   Certificate   Nickname            Trust Attributes SSL,S/MIME,JAR/XPI
   IPA.TO.EE     IPA CA                                       CT,C,C
   CN=master.ipa.newipa.my,O=My Company,L=Mylocation,C=MY     u,u,u
   DigiCert-Assured-ID-Root-CA                                C,,
   TERENA_SSL_CA_3                                            C,,
3. After that install trusted Digicert server cert for FreeIPA master:
   [root@master dir]# ipa-server-certinstall -w -d master_ipa_NEWIPA_MY.key master.ipa.NEWIPA.MY.pem
   Directory Manager password:
   Enter private key unlock password:
   Please restart ipa services after installing certificate (ipactl restart)
   The ipa-server-certinstall command was successful
4. And now just restart either all IPA services or just httpd and dirsrv:[root@master dir]# ipactl restart
   Stopping pki-tomcatd Service
   Restarting Directory Service
   Restarting krb5kdc Service
   Restarting kadmin Service
   Restarting httpd Service
   Restarting ipa-custodia Service
   Restarting ntpd Service
   Restarting pki-tomcatd Service
   Restarting ipa-otpd Service
   ipa: INFO: The ipactl command was successful

After that, when users are going to http://master.ipa.NEWIPA.MY/ipa/migration , they see fully correct login page, with trusted certs etc.

Kolm kuud hiljem ...

Kevadel otsustasin, et vanale kasvuhoonele tuleb korralik vundament alla teha. Vinkelrauast kokku keevitatud metallraamile olid kinnitatud akende raamidest välja lõigatud vertikaalsed jupid ja nende vahele siis klaasid. Kogu krempel elas kolme kihi paksuse lahtistest tellistest "vundamendi" otsas, mis oli aasta(kümne)tega ära vajunud. Raam oli osaliselt mullas, klaasid kukkusid eest ära ja umbrohi ning mügrid tükkisid kasvuhoonesse. Ka oli sellise kasvuhoone soojakindlaks tegemine üsna lootusetu ettevõtmine.

Mai alguses hakkasin kasvuhoone servasid jupikaupa tungrauaga üles tõstma. Serva alla kaevasin ca 30 sentimeetri sügavuse kraavi, millesse ladusin kahest kihist Fibo plokkidest vundamendi. Kasutasin tappidega 185mm laiuseid ja 25 cm kõrguseid plokke. Kahe plokirea vahele siis sarrus ka - ühesõnaga nagu päris. Kostub nagu tavaline müüriladumine.

Kui kasvuhoone oleks saanud oma kohalt ära tõsta, siis oleks kogu see tegemine ehk paar-kolm päeva aega võtnud (+max nädal kuivamiseks), kuid paraku ei olnud see mitmel põhjusel tehtav. Otsustasin seetõttu vundamenti olemasoleva kasvuhoone alla mitmes etapis ehitada.

Ikka nii, et esmalt kasvuhoone tungrauaga üles, tellistest tugipost alla, siis õige sügavusega ja loodis kraav, mille põhja ladusin Fibo plokid. Kui esimesed 3 meetrit alumist rida tegin nii, et alumise rea plokid said seotud vaid plokkide vuukidega, siis ühel hetkel hakkasin mõtlema, et madalat lintvundamenti hakkab külmumine kindlasti siia-sinna väntsutama ja sel juhul jääks vundamenti kandma vaid kahe plokirea vaheline segukiht+sarrus. Ja see murdub ebaühtlase külmakerke käigus päris kindlasti ära, ning tulemuseks on päris vedel vundament... Edasi panin kõikjal ka püstivuukidesse segu. See loomulikult müüriladumise tempole väga kaasa ei aidanud.

Aeg-ajalt olid ilmad ka sobivad. Nimelt, otse mullale ei saanud plokke eriti hästi panna, kui vähemalt pool nädalat polnud päris kuiva ilma olnud. Kraavi põhjas olevat mulda oli pärast sadusid väga raske loodi saada ja kinni tampida, sinna tekkis pigem pori. Samuti jäi see kraam plokki kraavi pannes kohe viimase külge kinni ning ploki liigutamine muutus üsna võimatuks. Ka laotud müür, mis pidi hakkama suurt osa kasvuhoone raskusest kandma, tahtis kuivamist - võtsin minimaalseks segu kivistusmise ajaks nädala. Selle ajaga peaks segu olema saavutanud mõnikümmend protsenti oma nominaalsest tugevusest.

Igatahes, ilmade, puhkuse ja tervise "rehadega" kalendri üle roobitsemine andis tulemuseks 90 päevase vundamendiladumise. Tegelikku jooksvat tööaega tuli kokku ilmselt veidi üle nädala jagu. Viimased kaks kivi said paika 30. juuli lõuna paiku :-) Ca 17.6 meetri jooksva vundamendi ladumiseks kulus täpselt 70 Fibo plokki ja vist 5 kotti (25 kg) Weber 100/600 segu ja 20 m Fibo sarrust.

Lasen viimasel vundamendijupil samuti nädala kuivada ning augusti teisel nädalal lasen kasvuhoone vundamendile - siis saab alustada ka töid kihtplastikuga ning vundamendi välispinna krohvimisega.

"Arkadia" kolib kasvuhoonesse

Ma ei ole tükk aega viinapuu pistokste juurutamise katse progressist kirjutanud. Kahjuks või õnneks ei olnud midagi ka kirjutada. Viimatises selleteemalises postituses, ca kaks kuud tagasi, kirjutasin, et "Arkadial" tekib järjest uusi lehti ning turgutasin teist väetisega. Otste kokkuvõtmiseks kirjutan nüüd, et mis sellest kõigest välja tuli.

Toalillede jaoks mõeldud väetisega kastmist jätkasin ca kord nädalas ning see meeldis viinapuule väga - kasv kiirenes hüppeliselt ja lehtede värv muutus kenaks roheliseks. Kiire kasv väljendus ka ohtrate ennakvõrsete tekkimises. Kuna mind huvitas eelkõige võimalikult pika põhioksa kasvatamine (et kujundada taim hiljem kas Guyot'-sarnasel või ühe madalal asuva põhiosaga kujul), siis kaksasin kõik ennakvõrsed pärast esimest lehte võimalikult varajases arengustaadiumis ära. Taim spurtis kenasti pikkusse! Ühel hetkel aga seni teadmata põhjusel põhiladva kasv pidurdus. Õnneks võttis teatepulga üle üks ladvalähedane ennakvõrse, kui see oli ennast hästi näidanud, kaksasin ära esialgse ladva otsa ning jätkasin ennakvõrse kasvatamist.

4 kuud pärast pistoksa potti
torkamist. "Arkadia" pikkus on
umbes 1 meeter!

Ühel hetkel hakkasid tekkima ka väänlad. Olin varem Youtubest ühte Roy Kladaricu mõnevõrra asjalikku videot (https://youtu.be/GlfnJHF8m0Y?t=3m) vaadates kohanud soovitust, et tüve kasvatades on mõistlik KÕIK väänlad eemaldada - nende kasvamise peale kulub taimel arvestatavalt energiat, kuid tüve puhul on eesmärk jõuda võimalikult ruttu soovitud kõrguseni. Loomulikult tuleb sellisel juhul viinapuu kasvav tüvi mingil viisil kinnitada (kas ümber nööri keerutades (NB! väädile ei tohiks pikiväänet/keerdu sisse teha!) või mingil viisil sidudes). Väänlaid ei ole vajadust või suisa ei tohiks eemaldada neilt võrsetelt, millele tekivad viljad.

Mida pikemaks taim kasvas, seda suurema hoo ta sisse sai - ju arenesid ka juured kõvasti edasi. Kõrvaloleval pildil on näha, et mida kõrgemale piki vääti minna, seda suurem on sõlmede/lehtede vahe. Mõõdu hindamiseks - lillepoti kõrgus on 18 cm. Viimased 25+ cm kasvas taim viimase nädala jooksul.

Kasvuhoone remont on jõudnud nii kaugele, et suurem sodi on sealt seest välja visatud ning rohkem ruumi jäänud taimedele. Otsustasin ennustuse järgi oodatavalt sooja öö eel taime kasvuhoonesse üle kolida. Selleks teipisin lillepoti külge meetripikkuse puust varda ja sidusin taime varda külge kinni. Kardetavasti ilma toeta ei oleks transport mõnesaja meetri kaugusel olevasse kasvuhoonesse õnnestunud - tuul oli tugev ja ülemise kolmandiku jagu võrse rohtset otsa on väga õrn. Transport oli edukas ning nüüd ootab "Arkadia" istutamist teiste viinapuude seltsi!

Pistokste juurutamise katset alustasin õige mitme pistoksaga. Kaks kuud tagasi kirjutasin hetkeolukorrast. Paar päeva tagasi tõmbasin potist välja kolm elumärki enam mitte näidanud "Arkadia" võrset. Üllatus oli mõnevõrra suur, kui kahel neist olid ca sentimeetri pikkused juured all. Need juured küll ilmselt enam elus ei olnud - kui lõikasin välja tõmmatud oksi jupp haaval lühemaks, paistsid kõik lõikekohad seest päris pruunid!

Ei oskagi nüüd täpsemalt arvata, mis põhjustas okste hukkumise - kas liigne soojus (reguleerimata soojendusmatt!), liigne niiskus (kilekoti all oli õhuniiskus väga kõrge) või midagi muud (peale puhkenud punga murdmist ei saanud taim siiski piisavalt energiat?).

Viinapuude kasvama panek, pea kaks kuud algusest

Praeguseks on möödunud pisut üle kahe kuu sellest, kui alustasin viinapuude pistokste juurutamise katsega. Kokkuvõttena võib vist ütelda, et tulemus oli suurepärane, sugugi mitte täiesti lootusetu. Põnevust jagus mõneks ajaks :-)
Erinevatel ajamomentidel puhkesid õige mitmete pistokste pungad, osad neist said ära murtud, osad kuivasid ise. Vette juurduma pandud pistokstele ei ilmunud mitte ühelegi midagi sellist, mida võiks nimetada kalluseks.
Hetkel on edenenud üks "Arkadia" taim, millel on hetkel juba 13 lehte ning lisa järjest tulemas. Päris rahul ei saa küll olla lehtede värviga, osad lehed on rootsude kohalt tumedamad rohelised ja üle lehe pinna veidi kahvatumad (seda on veidi näha ka kõrvaloleval pildil). Oletusi on kaks - võimalik, et idasse avatud aknal ei ole päris piisavalt valgust (kuigi ka lambid põlevad lisaks) või ei ole taim rahul mulla/toitainetega.
Vahepeal lisasin suhteliselt lahjale istutusmullale ka mitmekordse lahjendusega toalillede väetist (5-5-5-tüüpi + mikroelemendid). Selle peale hakkas lehti vähe nobedamalt juurde tekkima, kuid varre kasv ei kiirenenud (sõlmede vahed on kõik mitte enam kui sentimeetri pikkused).
Paralleelselt jätkan katsega saada mingit tulemust ka teistest "Arkadia" pistokstest, mis on kasvama läinuga samas potis. Need on kaetud läbipaistvate joogitopsidega, et hoida neid kõrge õhuniiskusega keskkonnas. Hetkel ei ole veel selge, kas neist kolmest ülejäänud oksast üldse mingit elulooma saab.
Soojendusmati lülitasin ca nädal aega tagasi välja, olen üha rohkem veendunud, et ILMA TERMOREGULAATORITA SOOJENDUSMATI KASUTAMINE EI OLE HEA MÕTE. Võimalik, et otsest ja ülemäärast kuumutamist on võimalik vältida ka madalate liistude panemisega poti ja mati vahele.
Teises potis on "New York Muscati" pistoksad, puhkenud pungade murdmise järel ei ole nende juures olnud märgata mitte mingit aktiivsust. Siiski, enne katse lõpetamist hoian neid veel kuu-paar praegusel kujul kilekotiga kaetult parajalt niiskes potis ja jälgin olukorda.
Aga aiamaal on suur kevad, täna oli esimest korda pärast talve näha mingit aktiivsust sealsete viinapuude juures. Kasvuhoones olev "Fabel" hakkas täna sügisestest lõikekohtadest pisut mahla välja ajama ning osad pungad on hakanud heledaks muutuma. Mõni ime - päikeselise päevaga tõuseb kasvujoones temperatuur ligi 30 soojakraadini.

"Zilga" oksad haljastuseks

Müttasin täna mõned tunnid aiamaal ning koristasin sügisest vedelema jäänud sodi. Näppu jäid ka sügisel peale Saare-Tõrvaaugu aiandi koolitusel kindluse saamist vatti saanud "Zilga" ära lõigatud oksad. Nad olid talv otsa niisamati maapinnal vedelenud - vahel lume all, vahel lagedal, vahel -20 C külmas, vahel ilmselt ka pigem +10 kraadi kanti jõudnuna. Kõigest hoolimata nägid nad head välja ja oksi lõigates paistsid lõikekohad igati ilusad rohelised.

Valmis lõigatud "Zilga" pistoksad, mõõduks on kõrval
jalajälg numbriga 42 :-)

"Zilga" pistokste "ühishaud"

Kuna põhjarannikul asuvas suvekodus mõteldi mingi kerge varjualuse tegemise peale, siis tekkis idee kombineerida seda vastupidavatest viinapuudest haljastusega. Sellistega, mida ei ole vaja talveks maha võtta ning mis kannataksid ka -30 C külma ära. Juhtumisi on "Zilga" just selline sort. Lõikusin parema väljanägemisega viinapuude oksad kahe pungaga pistoksteks, kokku sai neid 15 tükki. Pistoksteks eelistasin okste alumisi juppe, prooviks sai hulka ka üks mitmeaastase varre tükk.
Mõtisklesin natukene ka selle üle, et kuidas neid siis kasvama saada ning otsustasin, et matan nad kõik kasvuhoonesse maha. Kasvuhoones on praeguseks muld ca 20 cm sügavuselt sulanud, kuid sügavamal on maa veel jääs.
Kaevasin ca labida sügavuse kraavi ning panin oksad sinna poolviltu sisse, ülemine pung ülespoole. Peenrale augu asukohta tähistavad märgid juurde, kraav kinni ning muld kergelt jalaga tihedamaks. Uurin vahepeal edasi, et kuidas nendega kõike mõistlikum oleks edasi toimetada.
Kui neid oksi peaks hulgim kasvama minema, võin neid võimalikele huvilistele ära jagada...

"Arkadia" kosub

Viimasest postitusest on veidi möödas, olen vahepeal huviga jälginud juurdunud "Arkadia" pistoksa arengut. Teiste pistokste puhul ei ole suurt mingit muutust olnud - ei uusi pungi, ei juuri või kallust vees olevatel okstel. Ootame veel.
Ostsin ka Effexist ühe Philips 965 De Luxe seeria toru. Kuna luksmeeter ei ole enam käepärast, proovisin vana ja uue toru heleduste vahet fotoaparaadiga hinnata. Fotoaparaat ei suutnud säri punktmõõtmise režiimis mingit säriaja erinevust tuvastada! Mis on omajagu üllatav, sest see vanem toru oli ikka kaks-kolm aastat minimaalselt akvaariumi kohal töötanud.
Aga selline valgustus tundub värskelt kasvamist alustanud "Arkadiale" sobivat, võrse on hakanud üsna nobedasti kasvama. Panen juurde paar pilti, millelt on näha ca. nädala vanune noor viinapuu. Kui varem oli kerge kahtlus, et kas tegu ikka on "Arkadiaga" (peale lõikamist oli omajagu eri sortide pistoksi läbisegi), siis esimese lehe servade põhjal võiks arvata, et pigem on tõesti.

Nädala vanune "Arkadia" pealtvaates

Vaade "ülalt" on selline nagu näha paremal pildil. Ülemine leht on esimene leht, alumine leht aga kolmas. Selle kolmanda lehe kuju on mõnevõrra veider - kõvasti lõhki ja veidrate paksenditega. Ju on mingil viisil kannatada saanud.

Nädala vanune "Arkadia" küljelt

Kus on teine leht? Teisele lehele kukkus varsti pärast punga puhkemist ja esimese kahe lehe avanemist veetilk ning pärast seda hakkas leht õige kiiresti servast kärbuma ning on praeguseks kolmanda lehe all väga krimpsu tõmbunult veel nähtav. Tolle teise lehe kaenlast tundub tekkivat uus võrse. Kuivanud/mädanenud teine leht on näha vasakpoolsel pildil, kummalise kujuga teise lehe rootsu juures.. Loodetavasti ei kandu tolle lehega toimuv üle ülejäänud taimele.
Samas on esmane võrse jõudsalt edasi arenenud ning esimese ja teise lehe vahel on näha ports pungasid ja õige tillukesi lehti. Need võiksid lähipäevadel edasi areneda ja korralikke lehti tekitada.
Seniks hoian lillepotil osa päevast veel kilekoti peal ning kastan üle päeva. Tundub, et kilekoti all kasvavad lehed märksa kiiremini kui päev otsa lahtiselt olnult. Eks kilekott tõsta veidi niiskuse taset (toa õhk on üsna kuiv) kui temperatuuri...

Valgustuse tugevusest

Mõõtsin nädala keskel luksmeetriga viinapuu pistokste kohale ehitatud valgusti valgustugevust. Öösel muidu pimedas toas tehtud mõõtmine andis pungade kõrgusel valgustuse tasemeks ca 2100 luksi. Selgel päikeselisel päeval koos lampidega sain ca kaks korda kõrgema nivoo.
Kokkuvõte - tuleb ikkagi osta uued torud, vanade valgusvoog tundub olema omajagu langenud. Jääb vaid loota, et pikkade akvaariumi valgustamise töötsüklitega on valgusviljakuse vähenemine olnud madalam kui nö "tavapärases kasutuses" torude puhul võiks arvata.

Esimesed lehed

Viimasest postitusest on mõnevõrra aega möödas, vahepeal olen jälginud rohu kasvamist :-) Lühiülevaatena tuleb ütelda, et senimaani on kõik kas alles jäänud puhkenud pungad või puhkenud ja ära murtud pungade asemele tulnud uued puhkenud pungad ära kuivanud. Ei ole päris kindel, kas põhjuseks on olnud kilekottide mitmetunnised pealt ära võtmised või hoopis pistokste energiavarude ammendumine. Sama saatus on tabanud nii vees kui potis juurduvaid pistoksi.
Ühel potis juurduval "Arkadia" oksal (justkui viletsaim, mille üle ma varasemas postituses ka imestasin) hakkas puhkenud pungast paistma ilus lehe ots, kuid see tõmbus paari päeva jooksul kollaseks ja kuivas.
Potis olevatel "New York Muscati" okstel jätsin ühel puhkenud punga murdmata ning teisel murdsin ära. Murdmata pung ei jõudnud veel lehtigi õieti välja ajada, kui juba kuivas. Murtud punga asemele ei ole (õnneks?!) veel uut punga puhkema hakanud. Loodetavasti asenduspung siiski puhkeb ja sellega läheb veel aega - selleks ajaks võiksid ehk oksale ka juured alla tekkida.

Värskete lehtedega "Arkadia" pistoks

Vees olevatel murtud "New York Muscati" okstel tulid murtud puhkenud pungade asemele uued, mis samuti kuivasid. Sama juhtus ühe vees oleva "Arkadia" oksaga. Ma kardan, et nende okstega võib katse lõppenud olla. Ülejäänud veenõus olevad "Arkadia" oksad on paisunud, kuid veel mitte puhkevate pungadega, sama kehtib kahe potis oleva "Arkadia" kohta. Pudelitesse pistsin ca nädala eest viinapuu okstele seltsiks ka pajuoksad (nagu Harri Poom oma blogis soovitab), need hakkavad praegu juba kergelt lehte minema! Pudelites vahetan vett üle päeva ja loputan vahetuse ajal ka veejoa all okste vees olevaid otsi, mis muutuvad paari päevaga üsna limaseks ja mõnevõrra "lõhnavaks". Juuri või kallust pudelites olevatel okstel seni märgata ei ole.
Üllatus oli aga suur, kui paari päeva eest üks potis olev "Arkadia" pistoks, mille pung oli just vastu mullapinda, hakkas järjest rohkem ja rohkem lahti minema. Tänaseks hommikuks avanes kõrval nähtav vaatepilt. Enne pildi tegemist olid lehtedest paremal pool näha ka punga alt välja vaatavat paar-kolm pisikest rohelist ussikest meenutavat jätket. Tahaksin arvata, et nende puhul oli tegu tekkivate juurtega. Pilt on tehtud peale seda, kui juurtele õrnalt turvast peale pandud ning kogu kremplit ilma lehti märjaks tegemata kastetud. Pildil taustal olevad oksad on need, mille puhul on veel veidi rohkem lootust, et neist miskit asja saab, nende pungad ei ole veel puhkenud (kuid on paisunud).

Juurutamisega alustasin 29. jaanuaril, seega on katse algusest möödunud praeguseks neli nädalat. Hoian edasi pöialt, et praegune oksake elus püsiks ja ka teistest okstest asja saaks :-)