
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof">

My deployments have a single CA that's used as trust-anchor on both machines, and then the certificates are signed by the CA. The CA is further added to the systems' trust stores. I haven't tried what you're doing (sorry).</div>

<div class="elementToProof">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">

<b>Eric Graham</b></div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">

<i>DevOps Specialist</i></div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">

<span style="font-size: 8pt;">Direct: 605.990.1859</span><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 8pt; color: rgb(0, 0, 0); background-color: rgba(0, 0, 0, 0);"></span><i><br>

</i></div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">

<i><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 8pt; color: rgb(0, 0, 0); background-color: rgba(0, 0, 0, 0);"></span></i><a href="mailto:eric.graham@vantagepnt.com" title="mailto:eric.graham@vantagepnt.com"><span style="font-size: 8pt;">Eric.Graham@vantagepnt.com</span></a><i><br>

</i></div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">

<i><img style="max-width:100%" class="ContentPasted0" id="imageSelected0" data-outlook-trace="F:1|T:1" src="cid:ff23e65c-e61f-497c-bea5-91f13f197392"><br>

</i></div>

</div>

</div>

</div>

<div id="appendonsend"></div>

<hr style="display:inline-block;width:98%" tabindex="-1">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Stefan G. Weichinger <lists@xunil.at><br>

<b>Sent:</b> Thursday, June 29, 2023 9:04 AM<br>

<b>To:</b> Eric Graham <eric.graham@vantagepnt.com>; kea-users@lists.isc.org <kea-users@lists.isc.org><br>

<b>Subject:</b> Re: [Kea-users] kea-2.2.0 - HA cluster - communication between stork and dhcp4 gets lost</font>

<div> </div>

</div>

<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">

<div class="PlainText">CAUTION: This email originated outside the organization. Do not click any links or attachments unless you have verified the sender.<br>

<br>

Am 29.06.23 um 15:34 schrieb Eric Graham:<br>

> Stefan,<br>

><br>

> I think so, but I'm not sure if it's best practice to share that<br>

> certificate with Kea since you'd need to open up permissions a little<br>

> and allow Kea to read the private key. If you have no qualms with that<br>

> note, then it's probably worth an attempt, at least. Since Kea shouldn't<br>

> be running as root, you may need to change group ownership of the certs<br>

> or use fACLs.<br>

<br>

I could copy them over to /var/lib/kea and adjust things.<br>

<br>

Prepared that already<br>

<br>

As far as I understand the CAs have to be placed "cross-wise":<br>

<br>

server1 has to use ca_server2.pem as trust-anchor<br>

<br>

<br>

server2 has to use ca_server1.pem as trust-anchor<br>

<br>

Right?<br>

<br>

I haven't started editing things yet, can't risk downtime while people<br>

are working there.<br>

<br>

<br>

</div>

</span></font></div>

</body>

</html>