<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 15, 2013 at 6:23 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div><div class="im">Here is a command:<br>
certutil -d sql:/etc/pki/pki-tomcat/alias/ -A -t "CT,C,C" -n "External<br>
CA" -i /root/ca.pem<br>
<br>
Also I tried to add intermediate CA with the following:<br>
certutil -d sql:/etc/pki/pki-tomcat/alias/ -A -t ",," -n "External Sub<br>
CA" -i /root/sub.pem<br>
<br>
External CA file is correct, I verified it with "openssl s_client<br>
-CAfile /root/ca.pem -connect <a href="http://ipa.mydomain.com:636" target="_blank">ipa.mydomain.com:636</a><br></div></div>
<<a href="http://ipa.mydomain.com:636" target="_blank">http://ipa.mydomain.com:636</a>>"<br>
</blockquote>
<br>
You should drop the sql prefix. This is creating a new cert and key database (you'll see a new cert9 and key4.db there). I don't believe that dogtag uses the sql prefix yet so it won't see the new certs you added.<br>


<br>
You should also set the trust flags on all intermediate certs as well.</blockquote></div><br>You are right, lsof shows that java process opens only cert8.db and key3.db</div><div class="gmail_extra">I did as you say, and dirsrv log output changed to "Netscape Portable Runtime error -8179 (Peer's Certificate issuer is not recognized.); unauthenticated client"</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">Then I in addition ran this command:</div><div class="gmail_extra">certutil -d /etc/dirsrv/slapd-MYDOMAIN-COM/ -A -t "CT,C,C" -n "IPA CA" -i /etc/ipa/ca.crt<br>

<br>And eventually it worked!</div><div class="gmail_extra"><br></div><div class="gmail_extra">So there were two problems:</div><div class="gmail_extra">1) ipa-server-certinstall removed IPA CA from dirsrv nssdb (by replacing it)</div>

<div class="gmail_extra">2) ipa-server-certinstall did not add new dirsrv CA into pki-tomcatd nssdb</div><div class="gmail_extra"><br></div><div class="gmail_extra">Hope you can fix that either in documentation or tools :)<br clear="all">

<div><pre style="font-family:monospace;font-size:12px;margin:0px;padding:0px;white-space:pre;word-wrap:break-word"><span style="color:rgb(102,102,102)"><br></span></pre><pre style="font-family:monospace;font-size:12px;margin:0px;padding:0px;white-space:pre;word-wrap:break-word">

<span style="color:rgb(102,102,102)">-- </span></pre><pre style="font-family:monospace;font-size:12px;margin:0px;padding:0px;white-space:pre;word-wrap:break-word"><span style="color:rgb(102,102,102)">Best regards,</span></pre>

<pre style="font-family:monospace;font-size:12px;margin:0px;padding:0px;white-space:pre;word-wrap:break-word"><span style="color:rgb(102,102,102)">Vladimir Kulev</span></pre><pre style="margin:0px;padding:0px;word-wrap:break-word">

<span style="font-family:monospace;font-size:12px;white-space:pre;color:rgb(102,102,102)">
Mobile: </span><font color="#666666"><span style="font-size:12px">+358400369346, +79215554422</span></font></pre><pre style="font-family:monospace;font-size:12px;margin:0px;padding:0px;white-space:pre;word-wrap:break-word">

<font color="#666666">Jabber: <a href="mailto:me@lightoze.net" target="_blank">me@lightoze.net</a></font></pre><pre style="font-family:monospace;font-size:12px;margin:0px;padding:0px;white-space:pre;word-wrap:break-word">

<font color="#666666">Skype: lightoze</font></pre></div>
</div></div>