<div dir="ltr">Yes that helped fix 2012092520027 (thank you!!)<div><br></div><div style>But I am still seeing an error with:</div><div style><br></div><div style><div>Request ID '20120615190133':</div><div><span class="" style="white-space:pre"> </span>status: CA_UNCONFIGURED</div>
<div><span class="" style="white-space:pre">    </span>ca-error: Error setting up ccache for local "host" service using default keytab.</div><div><span class="" style="white-space:pre"> </span>stuck: yes</div><div>
<span class="" style="white-space:pre">       </span>key pair storage: type=NSSDB,location='/etc/pki/nssdb',nickname='Server-Cert',token='NSS Certificate DB'</div><div><span class="" style="white-space:pre">   </span>certificate: type=NSSDB,location='/etc/pki/nssdb',nickname='Server-Cert'</div>
<div><span class="" style="white-space:pre">    </span>CA: IPA</div><div><span class="" style="white-space:pre">    </span>issuer: </div><div><span class="" style="white-space:pre">   </span>subject: </div><div><span class="" style="white-space:pre">  </span>expires: unknown</div>
<div><span class="" style="white-space:pre">    </span>track: yes</div><div><span class="" style="white-space:pre"> </span>auto-renew: yes</div><div><br></div><div style>I noticed that the request ID doesn't show up in /var/lib/certmonger/requests/, does that make a difference?</div>
<div style><br>David</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, May 2, 2013 at 2:35 PM, Nalin Dahyabhai <span dir="ltr"><<a href="mailto:nalin@redhat.com" target="_blank">nalin@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Thu, May 02, 2013 at 01:23:04PM -0500, Toasted Penguin wrote:<br>
> /etc/ipa/ca.crt was issued by O=<a href="http://CTIDATA.NET" target="_blank">CTIDATA.NET</a>, CN=Certificate Authority<br>
><br>
> All the certs monitored by Certmonger show the same issuer.<br>
<br>
</div>Ok, good.  (If that hadn't been the case, I wouldn't have had an<br>
explanation to offer.)<br>
<div class="im"><br>
> Wasn't getting anything back when running the ipahost script you provided,<br>
> ran  ipahost=`grep ^host= /etc/ipa/default.conf | cut -f2- -d=` and echo<br>
> $ipahost shows nothing so I just ran the openssl section manually:<br>
<br>
</div>Hmm.  Curious.  That might be a leftover from having different releases<br>
installed at various times on my test box.  Thanks for continuing on.<br>
<div><div class="h5"><br>
> openssl s_client -CAfile /etc/ipa/ca.crt -connect ipa01.ctidata.net:https<br>
> -showcerts < /dev/null<br>
><br>
> Results:<br>
> CONNECTED(00000003)<br>
> depth=1 O = <a href="http://CTIDATA.NET" target="_blank">CTIDATA.NET</a>, CN = Certificate Authority<br>
> verify return:1<br>
> depth=0 O = <a href="http://CTIDATA.NET" target="_blank">CTIDATA.NET</a>, CN = <a href="http://ipa01.ctidata.net" target="_blank">ipa01.ctidata.net</a><br>
> verify error:num=10:certificate has expired<br>
> notAfter=Mar 24 19:56:36 2013 GMT<br>
> verify return:1<br>
> depth=0 O = <a href="http://CTIDATA.NET" target="_blank">CTIDATA.NET</a>, CN = <a href="http://ipa01.ctidata.net" target="_blank">ipa01.ctidata.net</a><br>
> notAfter=Mar 24 19:56:36 2013 GMT<br>
> verify return:1<br>
> ---<br>
> Certificate chain<br>
>  0 s:/O=<a href="http://CTIDATA.NET/CN=ipa01.ctidata.net" target="_blank">CTIDATA.NET/CN=ipa01.ctidata.net</a><br>
>    i:/O=<a href="http://CTIDATA.NET/CN=Certificate" target="_blank">CTIDATA.NET/CN=Certificate</a> Authority<br>
> -----BEGIN CERTIFICATE-----<br>
> #####<br>
> -----END CERTIFICATE-----<br>
>  1 s:/O=<a href="http://CTIDATA.NET/CN=Certificate" target="_blank">CTIDATA.NET/CN=Certificate</a> Authority<br>
>    i:/O=<a href="http://CTIDATA.NET/CN=Certificate" target="_blank">CTIDATA.NET/CN=Certificate</a> Authority<br>
> -----BEGIN CERTIFICATE-----<br>
> ####<br>
> -----END CERTIFICATE-----<br>
> ---<br>
> Server certificate<br>
> subject=/O=<a href="http://CTIDATA.NET/CN=ipa01.ctidata.net" target="_blank">CTIDATA.NET/CN=ipa01.ctidata.net</a><br>
> issuer=/O=<a href="http://CTIDATA.NET/CN=Certificate" target="_blank">CTIDATA.NET/CN=Certificate</a> Authority<br>
> ---<br>
> No client certificate CA names sent<br>
> ---<br>
> SSL handshake has read 1959 bytes and written 463 bytes<br>
> ---<br>
> New, TLSv1/SSLv3, Cipher is AES256-SHA<br>
> Server public key is 2048 bit<br>
> Secure Renegotiation IS supported<br>
> Compression: NONE<br>
> Expansion: NONE<br>
> SSL-Session:<br>
>     Protocol  : TLSv1<br>
>     Cipher    : AES256-SHA<br>
>     Session-ID: #####<br>
>     Session-ID-ctx:<br>
>     Master-Key: ####<br>
>     Key-Arg   : None<br>
>     Krb5 Principal: None<br>
>     PSK identity: None<br>
>     PSK identity hint: None<br>
>     Start Time: 1367518514<br>
>     Timeout   : 300 (sec)<br>
>     Verify return code: 10 (certificate has expired)<br>
> ---<br>
> DONE<br>
<br>
</div></div>Yup, that's the problem: the IPA server's certificate wasn't able to be<br>
replaced while it was still valid, and now it can no longer ask itself<br>
for a new one.<br>
<br>
With 2.1.4, I think the simplest way to sort this is to stop the<br>
services (ipactl stop; service certmonger stop), roll the system date<br>
back, start the services up again, possibly use 'ipa-getcert resubmit'<br>
to force updating (it should happen automatically, but forcing it to<br>
happen a second time won't hurt).  Then shut things down, set the<br>
correct time on the clock, and bring everything back up again.<br>
<br>
Hopefully there's a smarter way to do it, but I'm blanking on it if<br>
there is one.<br>
<br>
HTH,<br>
<br>
Nalin<br>
</blockquote></div><br></div>