<div dir="ltr"><div>dear Martin,<br><br></div>Thanks. I will check and update the list. <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 14, 2014 at 4:58 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">You need to get all certificates in<br>
<br>
# getcert list<br>
<br>
renewed. With FreeIPA 3.0+ the certificates should be already properly tracked, AFAIR.<br>
<br>
Was the uid=ipara,ou=People,o=ipaca entry (as described in <a href="http://www.freeipa.org/page/IPA_2x_Certificate_Renewal" target="_blank">http://www.freeipa.org/page/<u></u>IPA_2x_Certificate_Renewal</a>) properly updated with a serial pointing to the new certificate?<br>
<br>
Maybe this is the reason why old RA certificate is loaded.<br>
<br>
If you are using RHEL/CentOS, I would also recommend updating ipa, certmonger and selinux-policy to the 6.6 version is there were several related fixes.<br>
<br>
Martin<span class=""><br>
<br>
On 11/14/2014 11:56 AM, Kamal Perera wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hi Martin,<br>
<br>
Thanks for the reply.<br>
<br>
its FreeIPA 3.<br>
<br>
Actually my issue was, all my subsystem certificates were expired two days<br>
back. So it wasnt possible to get the requests signed and approved by the CA as<br>
the web interface in inaccessible.<br>
<br>
But after several attempts, I got it done by changing the date back to a valid<br>
time. Now i have revert back and everything is fine except this.<br>
<br>
now the RA and OCSPs are not communicating with the CA.<br>
<br>
I guess its because the CA's subsystem certificate is expired. So do i have to<br>
reissue all the subsystem certificates in RA and OCSP?<br>
<br>
Any thoughts?<br>
<br>
Thanks<br>
<br>
On Fri, Nov 14, 2014 at 3:50 PM, Martin Kosek <<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a><br></span><span class="">
<mailto:<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>>> wrote:<br>
<br>
    On 11/14/2014 08:02 AM, pki tech wrote:<br>
<br>
        Dear All,<br>
<br>
        In our Issuing CA, all the subsystem certificates are expired except the<br>
        caSigningCert.<br>
<br>
        I can generate the new certificate requests via certutil, but how can i get<br>
        them signed?<br>
<br>
        your swift response is appreciated.<br>
<br>
        Regards,<br>
        Kamal<br>
<br>
<br>
    What IPA version did you use? We have a related howto article on<br>
    FreeIPA.org wiki with instructions what to do when PKI subsystem<br>
    certificate expire:<br>
<br></span>
    <a href="http://www.freeipa.org/page/__IPA_2x_Certificate_Renewal" target="_blank">http://www.freeipa.org/page/__<u></u>IPA_2x_Certificate_Renewal</a><span class=""><br>
    <<a href="http://www.freeipa.org/page/IPA_2x_Certificate_Renewal" target="_blank">http://www.freeipa.org/page/<u></u>IPA_2x_Certificate_Renewal</a>><br>
<br>
    Also CCing Jan who owns the PKI knowledge.<br>
<br>
    Martin<br>
<br>
<br>
</span></blockquote>
<br>
</blockquote></div><br></div>