Atualmente, existem 3 tipos de como o FreeIPA pode se mesclar em um ambiente de certificado existente:
- Sem mesclagem - o FreeIPA é simplesmente instalado com a própria PKI e certificado de CA autoassinado
- CA externa - O FreeIPA é instalado com a própria PKI, mas seu certificado CA é assinado com a autoridade de certificação externa. Isso requer que a CA externa permita subc.As, o que não é tão comum. Eu acho que esta é a causa raiz do seu problema.
- Instalação sem CA - O FreeIPA não configura a própria CA, mas usa certificados host assinados da CA externa. Isso deve funcionar no seu caso. Este recurso foi introduzido em FreeIPA 3.2.0 .
Assim, meu conselho seria tentar uma instalação sem CA com certs assinados pela openca.