<div dir="ltr">Hey everyone,<div><br></div><div>A couple of days ago I started getting the following message:</div><div><br></div><div><div>[jebalicki@slpidml01 ~]$ ipa cert-show 1</div><div>ipa: INFO: trying <a href="https://slpidml01.unix.xxx.com/ipa/xml">https://slpidml01.unix.xxx.com/ipa/xml</a></div>
<div>ipa: INFO: Forwarding 'cert_show' to server u'<a href="https://slpidml01.unix.xxx.com/ipa/xml">https://slpidml01.unix.xxx.com/ipa/xml</a>'</div><div>ipa: ERROR: Certificate operation cannot be completed: Unable to communicate with CMS (Not Found)</div>
</div><div><br></div><div>I get a similar error in the GUI when looking at hosts.</div><div><br></div><div>slpidml01 is my "master" -- the one I initially built.  The other replicas also replicated the CA.</div>
<div><br></div><div>After some digging (and prompting from Red Hat support) I've found the following:</div><div><br></div><div><div>[root@slpidml01 ~]# ldapsearch -ZZ -H ldap://<a href="http://slpidml01.unix.xxx.com">slpidml01.unix.xxx.com</a> -D "cn=Directory Manager" -W -b "dc=unix,dc=xxx,dc=com" -x</div>
<div>ldap_start_tls: Connect error (-11)</div><div>        additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.</div></div><div><br></div><div>But, interestingly, from another replica:</div>
<div><br></div><div><div>[jebalicki@slpidml02 ~]$ ldapsearch -ZZ -H ldap://<a href="http://slpidml01.unix.xxx.com">slpidml01.unix.xxx.com</a> -D "cn=Directory Manager" -W -b "dc=unix,dc=xxx,dc=com" -x</div>
<div>Enter LDAP Password: </div><div># extended LDIF</div><div>#</div><div># LDAPv3</div><div># base <dc=unix,dc=xxx,dc=com> with scope subtree</div><div># filter: (objectclass=*)</div><div># requesting: ALL</div></div>
<div>...</div><div><br></div><div>So, obviously some certificate got hosed up somewhere.  I've been digging but I haven't found it yet.</div><div><br></div><div>Anyone have any ideas?</div><div><br></div><div>I have a ticket open with RH support, but I think I somehow got put with someone with a completely different sleep schedule -- I get replies at 3 in the morning.  So, I'm asking here because I'm impatient. :)</div>
<div><br></div><div>Thanks,</div><div><br></div><div>--Jason</div></div>