<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    On 12/23/11 4:38 PM, Benjamin Reed wrote:<br>
    <span style="white-space: pre;">><br>
      > On 12/23/11 12:02 PM, Simo Sorce wrote:<br>
      > > One thing you can test is if the ca.crt exposed via http
      is the same<br>
      > > that is stored on the server in /etc/ipa/ca.crt<br>
      ><br>
      > they are identical, I did find that the errors file is
      complaining about<br>
      > this:<br>
      ><br>
      > [22/Dec/2011:21:31:15 -0600] attrcrypt -
      attrcrypt_unwrap_key: failed to<br>
      > unwrap key for cipher AES<br>
      > [22/Dec/2011:21:31:15 -0600] attrcrypt -
      attrcrypt_cipher_init:<br>
      > symmetric key failed to unwrap with the private key; Cert
      might have<br>
      > been renewed since the key is wrapped. To recover the
      encrypted<br>
      > contents, keep the wrapped symmetric key value.<br>
      > [22/Dec/2011:21:31:15 -0600] attrcrypt -
      attrcrypt_unwrap_key: failed to<br>
      > unwrap key for cipher 3DES<br>
      > [22/Dec/2011:21:31:15 -0600] attrcrypt -
      attrcrypt_cipher_init:<br>
      > symmetric key failed to unwrap with the private key; Cert
      might have<br>
      > been renewed since the key is wrapped. To recover the
      encrypted<br>
      > contents, keep the wrapped symmetric key value.<br>
      > [22/Dec/2011:21:31:16 -0600] attrcrypt - All prepared ciphers
      are not<br>
      > available. Please disable attribute encryption.<br>
      ><br>
      ></span><br>
    <br>
    So the ultimate problem is that the LDAP and HTTP certs got replaced
    with a geotrust public cert, and the configuration client didn't
    like that.<br>
    <br>
    Now, I have a new problem.  I didn't think anything has changed, but
    the server had a reboot and now I get this on startup, and the
    directory server is just plain dead:<br>
    <br>
    [root@connect slapd-OPENNMS-COM]# /etc/init.d/dirsrv start<br>
    Starting dirsrv:<br>
        OPENNMS-COM...[07/Jan/2012:12:35:34 -0600] - SSL alert: Security
    Initialization: Can't find certificate (connect.opennms.com) for
    family cn=RSA,cn=encryption,cn=config (Netscape Portable Runtime
    error -8174 - security library: bad database.)<br>
    [07/Jan/2012:12:35:34 -0600] - SSL alert: Security Initialization:
    Unable to retrieve private key for cert connect.opennms.com of
    family cn=RSA,cn=encryption,cn=config (Netscape Portable Runtime
    error -8174 - security library: bad database.)<br>
    [07/Jan/2012:12:35:34 -0600] - SSL failure: None of the cipher are
    valid<br>
    [07/Jan/2012:12:35:34 -0600] - ERROR: SSL Initialization phase 2
    Failed.<br>
                                                               [FAILED]<br>
    <br>
    At this point, I will do whatever is the fastest way to get things
    back online. I do want to keep my user schema if possible, even if I
    have to make them reset their passwords. Is it possible to recover
    that if I just blow my config away and start fresh?<br>
    <br>
    <br>
    -- <br>
    Benjamin Reed<br>
    The OpenNMS Group<br>
    <a class="moz-txt-link-freetext" href="http://www.opennms.org/">http://www.opennms.org/</a><br>
    <br>
    <br>
  </body>
</html>