<div dir="ltr"><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Feb 28, 2014 at 1:05 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">KodaK wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="">
<br>
<br>
<br>
On Fri, Feb 28, 2014 at 11:14 AM, Rob Crittenden <<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a><br></div><div class="">
<mailto:<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>>> wrote:<br>
<br>
    KodaK wrote:<br>
<br>
        Hey everyone,<br>
<br>
        A couple of days ago I started getting the following message:<br>
<br>
        [jebalicki@slpidml01 ~]$ ipa cert-show 1<br></div>
        ipa: INFO: trying <a href="https://slpidml01.unix.xxx." target="_blank">https://slpidml01.unix.xxx.</a>__<u></u>com/ipa/xml<div class=""><br>
        <<a href="https://slpidml01.unix.xxx.com/ipa/xml" target="_blank">https://slpidml01.unix.xxx.<u></u>com/ipa/xml</a>><br>
        ipa: INFO: Forwarding 'cert_show' to server<br></div>
        u'<a href="https://slpidml01.unix.xxx." target="_blank">https://slpidml01.unix.xxx.</a>_<u></u>_com/ipa/xml<div class=""><br>
        <<a href="https://slpidml01.unix.xxx.com/ipa/xml" target="_blank">https://slpidml01.unix.xxx.<u></u>com/ipa/xml</a>>'<br>
        ipa: ERROR: Certificate operation cannot be completed: Unable to<br>
        communicate with CMS (Not Found)<br>
<br>
        I get a similar error in the GUI when looking at hosts.<br>
<br>
        slpidml01 is my "master" -- the one I initially built.  The other<br>
        replicas also replicated the CA.<br>
<br>
        After some digging (and prompting from Red Hat support) I've<br>
        found the<br>
        following:<br>
<br>
        [root@slpidml01 ~]# ldapsearch -ZZ -H<br>
        ldap://<a href="http://slpidml01.unix.xxx.com" target="_blank">slpidml01.unix.xxx.com</a> <<a href="http://slpidml01.unix.xxx.com" target="_blank">http://slpidml01.unix.xxx.com</a><u></u>><br></div>
        <<a href="http://slpidml01.unix.xxx.com__" target="_blank">http://slpidml01.unix.xxx.<u></u>com__</a>> -D "cn=Directory Manager" -W -b<div class=""><br>
<br>
        "dc=unix,dc=xxx,dc=com" -x<br>
        ldap_start_tls: Connect error (-11)<br>
                  additional info: TLS error -8172:Peer's certificate<br>
        issuer has<br>
        been marked as not trusted by the user.<br>
<br>
        But, interestingly, from another replica:<br>
<br>
        [jebalicki@slpidml02 ~]$ ldapsearch -ZZ -H<br>
        ldap://<a href="http://slpidml01.unix.xxx.com" target="_blank">slpidml01.unix.xxx.com</a> <<a href="http://slpidml01.unix.xxx.com" target="_blank">http://slpidml01.unix.xxx.com</a><u></u>><br></div>
        <<a href="http://slpidml01.unix.xxx.com__" target="_blank">http://slpidml01.unix.xxx.<u></u>com__</a>> -D "cn=Directory Manager" -W -b<div><div class="h5"><br>
<br>
        "dc=unix,dc=xxx,dc=com" -x<br>
        Enter LDAP Password:<br>
        # extended LDIF<br>
        #<br>
        # LDAPv3<br>
        # base <dc=unix,dc=xxx,dc=com> with scope subtree<br>
        # filter: (objectclass=*)<br>
        # requesting: ALL<br>
        ...<br>
<br>
        So, obviously some certificate got hosed up somewhere.  I've been<br>
        digging but I haven't found it yet.<br>
<br>
        Anyone have any ideas?<br>
<br>
        I have a ticket open with RH support, but I think I somehow got<br>
        put with<br>
        someone with a completely different sleep schedule -- I get<br>
        replies at 3<br>
        in the morning.  So, I'm asking here because I'm impatient. :)<br>
<br>
<br>
    Check certificate expiration. Run getcert list to see what the<br>
    status is.<br>
<br>
    rob<br>
<br>
<br>
None are expired, but there are some coming up soon:<br>
<br>
[root@slpidml01 ~]# getcert list | grep expires<br>
         expires: 2014-03-29 19:03:31 UTC<br>
         expires: 2014-03-29 19:04:04 UTC<br>
         expires: 2014-03-29 19:04:30 UTC<br>
         expires: 2016-02-09 06:26:34 UTC<br>
         expires: 2016-02-09 06:25:34 UTC<br>
         expires: 2016-02-09 06:25:34 UTC<br>
         expires: 2016-02-09 06:25:34 UTC<br>
         expires: 2016-02-09 06:25:34 UTC<br>
</div></div></blockquote>
<br>
Ok. CA requests are proxied through Apache so a Not Found means that the CA isn't running. Check the trust on the audit cert:<br>
<br>
# certutil -L -d /var/lib/pki-ca/alias<br>
<br>
The trust for the audit signing cert should be u,u,Pu<br>
<br>
If it doesn't have it, fix it with:<br>
<br>
# certutil -M -d /var/lib/pki-ca/alias -n 'auditSigningCert cert-pki-ca' -t u,u,Pu<br>
<br>
Then restart the CA (or all of IPA if you wish).<br>
<br>
For the LDAP searches you may want to try the commands again, preceding them with LDAPTLS_CACERT=/etc/ipa/ca.crt<span class=""><font color="#888888"><br>
rob<br>
<br>
</font></span></blockquote></div><br>Thanks a bunch, that worked!</div></div>