<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:Courier New,courier,monaco,monospace,sans-serif;font-size:12pt"><div>Thanks that did it.<br><br>I just can't seem to get this certificate working.  Here is the most recent way that i have tried.<br>cat bundle.crt >> new.crt    ## bundle, being the chain certificates provided by the CA<br>cat rhds.crt >> new.crt    ## rhds being the actual cert provided by the CA<br>openssl verify new.crt   ## turned out OK<br><br>openssl pkcs12 -export -in new.crt -inkey rhds.example.com.key  -out rhds.example.com-PSSL.p12<br><br>pk12util -i /root/certs/rhds.example.com-PSSL.p12 -d .<br>certutil -L -d .<br>Certificate
 Nickname                                         Trust Attributes<br>                                                             SSL,S/MIME,JAR/XPI<br><br><br>rhds.example.com - Comodo CA Limited                  u,u,u<br>PositiveSSL CA - The USERTRUST
 Network                       ,,<br>UTN-USERFirst-Hardware - AddTrust AB                         ,,<br><br><br>Still the same error when i try to use this cert.  Am I doing something wrong?<br><br><br></div><div style="font-family: Courier New,courier,monaco,monospace,sans-serif; font-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 13px;"><font size="2" face="Tahoma"><hr size="1"><b><span style="font-weight: bold;">From:</span></b> Ryan Braun [ADS] <ryan.braun@ec.gc.ca><br><b><span style="font-weight: bold;">To:</span></b> fedora-directory-users@redhat.com<br><b><span style="font-weight: bold;">Cc:</span></b> Dumbo Q <dumboq@yahoo.com><br><b><span style="font-weight:
 bold;">Sent:</span></b> Wednesday, July 8, 2009 2:50:10 PM<br><b><span style="font-weight: bold;">Subject:</span></b> Re: [389-users] Recover after installing a bad cert.<br></font><br>
On July 8, 2009 06:19:55 pm Dumbo Q wrote:<br>> I just installed a new ssl certificate using pk12util.  I restarted my<br>> dirsrv, and picked the new cert in the dropdown menu under the encryption<br>> tab.  I restarted dirsrv to make it take affect.  When I did this, I found<br>> that the root certificate was not in redhats/openssls ca-bundle.  I tried<br>> importing the intermediate certificate, and I think I just made the problem<br>> worse.<br>><br>> right now im getting the following.<br>>  SSL alert: CERT_VerifyCertificateNow: verify certificate failed for cert<br>> <a target="_blank" href="http://rhds.example.com">rhds.example.com</a> - Comodo CA Limited of family<br>> cn=RSA,cn=encryption,cn=config (Netscape Portable Runtime error -8179 -<br>> Peer's Certificate issuer is not recognized.) [08/Jul/2009:14:18:04 -0400]<br>> - SSL failure: None of the cipher are
 valid<br>><br>><br>> Now my directory is down completely.  How can I get it to start up without<br>> SSL so that I can fix the problem?<br><br>Make sure you backup /etc/dirsrv/INSTANCE/dse.ldif<br><br>then edit that file and look for<br><br>nsslapd-security: on<br><br>change to<br><br>nsslapd-security: off<br><br>save file,  restart service and ssl should be turned off.  Keep in mind <br>whatever caused the ssl config to puke in the first place is still there :)<br><br>Ryan<br></div></div></div><br>

      </body></html>