<div dir="ltr"><div style>Here is the output from the submit:</div><div style><br></div><div style><div> /usr/libexec/certmonger/ipa-submit -P bogus/`hostname` ~/req.csr</div><div>Submitting request to "<a href="https://ipa01.ctidata.net/ipa/xml">https://ipa01.ctidata.net/ipa/xml</a>".</div>
<div>Fault -504: (libcurl failed to execute the HTTP POST transaction, explaining:  Peer certificate cannot be authenticated with known CA certificates).</div><div>Server failed request, will retry: -504 (libcurl failed to execute the HTTP POST transaction, explaining:  Peer certificate cannot be authenticated with known CA certificates).</div>
</div><div><br></div><div style>Regarding /etc/ipa/ca.crt, it isn't expired it shows its valid until July 6, 2019.</div><div><br></div><br><div class="gmail_extra"><div class="gmail_quote">On Thu, May 2, 2013 at 12:30 PM, Nalin Dahyabhai <span dir="ltr"><<a href="mailto:nalin@redhat.com" target="_blank">nalin@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">On Thu, May 02, 2013 at 11:45:51AM -0500, Toasted Penguin wrote:<br>

> Nalin,<br>
><br>
> Thanks for your response.  Running `hostname` does result in<br>
> <a href="http://ipa01.ctidata.net" target="_blank">ipa01.ctidata.net</a> and kinit -k host/<a href="http://ipa01.ctidata.net" target="_blank">ipa01.ctidata.net</a> does also succeed.<br>
><br>
> I ran ` ipa-getcert resubmit -i 20120925200227  -K HTTP/<br>
> <a href="mailto:ipa01.ctidata.net@CTIDATA.NET">ipa01.ctidata.net@CTIDATA.NET</a>`<br>
><br>
> and it resulted in this:<br>
><br>
> Request ID '20120615190133':<br>
> status: CA_UNCONFIGURED<br>
> ca-error: Error setting up ccache for local "host" service using default keytab.<br>
> stuck: yes<br>
> key pair storage: type=NSSDB,location='/etc/pki/nssdb',nickname='Server-Cert',token='NSS Certificate DB'<br>
> certificate: type=NSSDB,location='/etc/pki/nssdb',nickname='Server-Cert'<br>
> CA: IPA<br>
> issuer:<br>
> subject:<br>
> expires: unknown<br>
> track: yes<br>
> auto-renew: yes<br>
<br>
</div>Can you retrieve the contents of the request and save it to a temporary<br>
file, like so:<br>
  reqfile=`grep -l '^id=20120615190133' /var/lib/certmonger/requests/*`<br>
  awk '/BEGIN .*REQ/,/END .*REQ/ {sub("^( |csr=)","");print}' $reqfile >\<br>
      ~/req.csr<br>
<br>
And then try to manually submit it to the server for signing, in the way<br>
that certmonger would, like so:<br>
  /usr/libexec/certmonger/ipa-submit -P bogus/`hostname` ~/req.csr<br>
<br>
Hopefully the error output there will give us more information about<br>
what's going on when the submission helper's failing to set up a ccache.<br>
<br>
If it manages to get past that point, I expect it to fail because you<br>
hopefully don't have a principal named "bogus" defined on the local<br>
host.  But at that point we'll have gotten past errors creating the<br>
ccache, and we'll have to find another way to figure out why it failed<br>
here.<br>
<br>
As an aside, we provide better information for this error in the<br>
"ca-error" note with later versions than you appear to have, so tracking<br>
down this information won't always be this complicated.<br>
<div class="im"><br></div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">
> Request ID '20120925200227':<br>
> status: CA_UNREACHABLE<br>
> ca-error: Server failed request, will retry: -504 (libcurl failed to<br>
> execute the HTTP POST transaction, explaining:  Peer certificate cannot be<br>
> authenticated with known CA certificates).<br>
> stuck: yes<br>
> key pair storage:<br>
> type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS<br>
> Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'<br>
> certificate:<br>
> type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS<br>
> Certificate DB'<br>
> CA: IPA<br>
> issuer: CN=Certificate Authority,O=<a href="http://CTIDATA.NET" target="_blank">CTIDATA.NET</a><br>
> subject: CN=<a href="http://ipa01.ctidata.net" target="_blank">ipa01.ctidata.net</a>,O=<a href="http://CTIDATA.NET" target="_blank">CTIDATA.NET</a><br>
> expires: 2013-03-24 19:56:36 UTC<br>
> eku: id-kp-serverAuth<br>
> track: yes<br>
> auto-renew: yes<br>
<br>
</div>There's an error verifying the server's certificate using the local copy<br>
of the CA certificate in /etc/ipa/ca.crt.  Is it also expired?<br>
<span class=""><font color="#888888"><br>
Nalin<br>
</font></span></blockquote></div><br></div></div>