<div dir="ltr"><div><div><div><div><div><div><div><div>Hi Martin,<br><br></div>Thanks for the reply.<br><br></div>its FreeIPA 3.<br><br></div>Actually my issue was, all my subsystem certificates were expired two days back. So it wasnt possible to get the requests signed and approved by the CA as the web interface in inaccessible. <br><br></div>But after several attempts, I got it done by changing the date back to a valid time. Now i have revert back and everything is fine except this.<br><br></div>now the RA and OCSPs are not communicating with the CA.<br><br></div>I guess its because the CA's subsystem certificate is expired. So do i have to reissue all the subsystem certificates in RA and OCSP?<br><br></div>Any thoughts?<br><br></div>Thanks<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 14, 2014 at 3:50 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 11/14/2014 08:02 AM, pki tech wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dear All,<br>
<br>
In our Issuing CA, all the subsystem certificates are expired except the<br>
caSigningCert.<br>
<br>
I can generate the new certificate requests via certutil, but how can i get<br>
them signed?<br>
<br>
your swift response is appreciated.<br>
<br>
Regards,<br>
Kamal<br>
</blockquote>
<br></div></div>
What IPA version did you use? We have a related howto article on FreeIPA.org wiki with instructions what to do when PKI subsystem certificate expire:<br>
<br>
<a href="http://www.freeipa.org/page/IPA_2x_Certificate_Renewal" target="_blank">http://www.freeipa.org/page/<u></u>IPA_2x_Certificate_Renewal</a><br>
<br>
Also CCing Jan who owns the PKI knowledge.<span class="HOEnZb"><font color="#888888"><br>
<br>
Martin<br>
</font></span></blockquote></div><br></div>