<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Feb 28, 2014 at 11:14 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">KodaK wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="">
Hey everyone,<br>
<br>
A couple of days ago I started getting the following message:<br>
<br>
[jebalicki@slpidml01 ~]$ ipa cert-show 1<br>
ipa: INFO: trying <a href="https://slpidml01.unix.xxx.com/ipa/xml" target="_blank">https://slpidml01.unix.xxx.<u></u>com/ipa/xml</a><br>
ipa: INFO: Forwarding 'cert_show' to server<br>
u'<a href="https://slpidml01.unix.xxx.com/ipa/xml" target="_blank">https://slpidml01.unix.xxx.<u></u>com/ipa/xml</a>'<br>
ipa: ERROR: Certificate operation cannot be completed: Unable to<br>
communicate with CMS (Not Found)<br>
<br>
I get a similar error in the GUI when looking at hosts.<br>
<br>
slpidml01 is my "master" -- the one I initially built.  The other<br>
replicas also replicated the CA.<br>
<br>
After some digging (and prompting from Red Hat support) I've found the<br>
following:<br>
<br>
[root@slpidml01 ~]# ldapsearch -ZZ -H ldap://<a href="http://slpidml01.unix.xxx.com" target="_blank">slpidml01.unix.xxx.com</a><br></div>
<<a href="http://slpidml01.unix.xxx.com" target="_blank">http://slpidml01.unix.xxx.com</a><u></u>> -D "cn=Directory Manager" -W -b<div class=""><br>
"dc=unix,dc=xxx,dc=com" -x<br>
ldap_start_tls: Connect error (-11)<br>
         additional info: TLS error -8172:Peer's certificate issuer has<br>
been marked as not trusted by the user.<br>
<br>
But, interestingly, from another replica:<br>
<br>
[jebalicki@slpidml02 ~]$ ldapsearch -ZZ -H ldap://<a href="http://slpidml01.unix.xxx.com" target="_blank">slpidml01.unix.xxx.com</a><br></div>
<<a href="http://slpidml01.unix.xxx.com" target="_blank">http://slpidml01.unix.xxx.com</a><u></u>> -D "cn=Directory Manager" -W -b<div class=""><br>
"dc=unix,dc=xxx,dc=com" -x<br>
Enter LDAP Password:<br>
# extended LDIF<br>
#<br>
# LDAPv3<br>
# base <dc=unix,dc=xxx,dc=com> with scope subtree<br>
# filter: (objectclass=*)<br>
# requesting: ALL<br>
...<br>
<br>
So, obviously some certificate got hosed up somewhere.  I've been<br>
digging but I haven't found it yet.<br>
<br>
Anyone have any ideas?<br>
<br>
I have a ticket open with RH support, but I think I somehow got put with<br>
someone with a completely different sleep schedule -- I get replies at 3<br>
in the morning.  So, I'm asking here because I'm impatient. :)<br>
</div></blockquote>
<br>
Check certificate expiration. Run getcert list to see what the status is.<span class=""><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><div class="gmail_extra"><br></div><div><div>None are expired, but there are some coming up soon:</div><div><br></div><div>[root@slpidml01 ~]# getcert list | grep expires</div><div>        expires: 2014-03-29 19:03:31 UTC</div>
<div>        expires: 2014-03-29 19:04:04 UTC</div><div>        expires: 2014-03-29 19:04:30 UTC</div><div>        expires: 2016-02-09 06:26:34 UTC</div><div>        expires: 2016-02-09 06:25:34 UTC</div><div>        expires: 2016-02-09 06:25:34 UTC</div>
<div>        expires: 2016-02-09 06:25:34 UTC</div><div>        expires: 2016-02-09 06:25:34 UTC</div><div><br></div><div>Everything is set to auto-renew:</div><div><br></div><div><div>[root@slpidml01 ~]# getcert list | grep auto-renew</div>
<div>        auto-renew: yes</div><div>        auto-renew: yes</div><div>        auto-renew: yes</div><div>        auto-renew: yes</div><div>        auto-renew: yes</div><div>        auto-renew: yes</div><div>        auto-renew: yes</div>
<div>        auto-renew: yes</div></div></div><div><br></div><div><br></div></div></div>