Ok, so the ipa-server-certinstall script seems to be where things did not work as I perhaps expected them to.<br><br>I manually put the certificates in the dirsrv cert db, and the web interface cert db.  The ipa-replica-manage uses replication.py, which is declaring <br>
<br>CACERT="/usr/share/ipa/html/ca.crt"<br><br>It looks like this is where the error is being caused.  The certification there is still the original "IPA Test Certificate Authority".  If I point it to the DigiCertCA.crt (which should work), OR the AD-ca.crt file, I get the same error as originally mentioned when running 'ipa-replica-manage list'.  If I comment out the CACERT variable it does as expected:  unexpected error: global name 'CACERT' is not defined<br>
<br>So, can someone give me some advice about where else it may be reading the certificate from, or how I can do things "the proper way" for IPA?<br><br>Thanks!<br><br><div class="gmail_quote">On Tue, Jan 11, 2011 at 9:54 AM, <a href="mailto:dont@killbrad.com">dont@killbrad.com</a> <span dir="ltr"><<a href="mailto:dont@killbrad.com">dont@killbrad.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Hi all,<br><br>  It seems something broke somewhere along the lines when I was trying to set up Windows Sync.  Please take a look at the following outputs.  I can connect both directions manually via SSL, but the actual ipa-replica-manage script seems to be pulling certs from somewhere else.  The current sync between ipaserver-01 & ipaserver-02 is working fine.  If anyone has any suggestions, I would be open to them.  Thanks!<br>

<br>example.local = active directory domain<br><a href="http://example.com" target="_blank">example.com</a> = ipa realm<br>-----<br><br>[root@ipaserver-01 ~]# certutil -L -d /etc/dirsrv/slapd-EXAMPLE-COM/<br><br>Certificate Nickname                                         Trust Attributes<br>

                                                             SSL,S/MIME,JAR/XPI<br><br>DigiCertCA                                                   CT,,C<br>AD CA cert                                                   CT,,C<br>

ipaserver-01                                                 u,u,u<br><br>#-----<br># everything looks right<br>#-----<br><br>[root@ipaserver-01 ~]#<br>[root@ipaserver-01 ~]# /usr/lib64/mozldap/ldapsearch -h adserver-01.example.local -p 636 -Z -P /etc/dirsrv/slapd-EXAMPLE-COM/cert8.db -D "passsync@example.local" -w 'notrealpassword' -s base -b "" "objectclass=*"<br>

version: 1<br>dn:<br>currentTime: 20110111153848.0Z<br>...<br>...<br>supportedControl: 1.2.840.113556.1.4.1948<br>supportedControl: 1.2.840.113556.1.4.1974<br>supportedControl: 1.2.840.113556.1.4.1341<br>supportedControl: 1.2.840.113556.1.4.2026<br>

supportedLDAPVersion: 3<br>supportedLDAPVersion: 2<br>supportedLDAPPolicies: MaxPoolThreads<br>...<br>...<br>dnsHostName: adserver-01.example.local<br>ldapServiceName: example.local:adserver-01$@example.local<br>...<br>...<br>

isSynchronized: TRUE<br>isGlobalCatalogReady: TRUE<br>domainFunctionality: 3<br>forestFunctionality: 3<br>domainControllerFunctionality: 3<br>[root@ipaserver-01 ~]#<br><br>#-----<br># good valid results for the query [reduced for clarity]<br>

#-----<br><br><br>[root@ipaserver-01 ~]# ipa-replica-manage list<br>Directory Manager password:<br>unexpected error: {'info': 'error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed', 'desc': "Can't contact LDAP server"}<br>

[root@ipaserver-01 ~]#<br><br>#-----<br># welp, it looks like something is broken somewhere..<br>#-----<br>
</blockquote></div><br>