<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">On 12/08/2014 11:04 PM, Les Stott
wrote:<br>
</div>
<blockquote
cite="mid:4ED173A868981548967B4FCA2707222628048DF6@AACMBXP04.exchserver.com"
type="cite">
<meta http-equiv="Content-Type" content="text/html;
charset=ISO-8859-1">
<meta name="Generator" content="Microsoft Word 14 (filtered
medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.EmailStyle18
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">Does anyone
have any ideas on the below errors when trying to add CA
replication to an existing replica?<o:p></o:p></span></p>
</div>
</blockquote>
<br>
People who might be able to help are or PTO right now.<br>
<br>
Is your installation older than 2 years?<br>
Did you generate a new replica package or use the original one?<br>
May be the problem is that the cert that is in that package already
expired?<br>
Just a thought...<br>
<br>
The simplest workaround IMO would be to prepare Server C, install it
with CA and then decommission replica B. <br>
Do not forget to clean replication agreements on master.<br>
<br>
But that would be work around, would not solve this specific
problem, it will kill it.<br>
<br>
<blockquote
cite="mid:4ED173A868981548967B4FCA2707222628048DF6@AACMBXP04.exchserver.com"
type="cite">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Thanks in
advance,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Les<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div style="border:none;border-left:solid blue 1.5pt;padding:0cm
0cm 0cm 4.0pt">
<div>
<div style="border:none;border-top:solid #B5C4DF
1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:EN-AU"
lang="EN-US">From:</span></b><span
style="font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:EN-AU"
lang="EN-US"> <a class="moz-txt-link-abbreviated" href="mailto:freeipa-users-bounces@redhat.com">freeipa-users-bounces@redhat.com</a>
[<a class="moz-txt-link-freetext" href="mailto:freeipa-users-bounces@redhat.com">mailto:freeipa-users-bounces@redhat.com</a>] <b>On
Behalf Of </b>Les Stott<br>
<b>Sent:</b> Tuesday, 2 December 2014 6:17 PM<br>
<b>To:</b> <a class="moz-txt-link-abbreviated" href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
<b>Subject:</b> [Freeipa-users] CA Replication
Installation Failing<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Hi All,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have RHEL6 with ipa servers running
standard ipa server 3.0.0-42. Pki components are also
standard version 9.0.3-38.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Servera is the master<o:p></o:p></p>
<p class="MsoNormal">Serverb is the replica<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Both have been running for many, many
months. Serverb was initially setup as a replica, but not a
CA replica.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I am now trying to add CA Replication to
serverb but it is failing midway through and I cannot figure
out why.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Annoyingly, I used the same
method/command to setup a CA replica on test servers and it
completed without issue.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is what I get….(for the sake of
brevity, I am excluding the lines for connection check which
were all OK)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal">/usr/sbin/ipa-ca-install
/var/lib/ipa/replica-info-serverb.mydomain.com.gpg<o:p></o:p></p>
<p class="MsoNormal">Directory Manager (existing master)
password:<o:p></o:p></p>
<p class="MsoNormal">Get credentials to log in to remote
master<o:p></o:p></p>
<p class="MsoNormal"><a moz-do-not-send="true"
href="mailto:admin@MYDOMAIN.COM">admin@MYDOMAIN.COM</a>
password:<o:p></o:p></p>
<p class="MsoNormal">Execute check on remote master<o:p></o:p></p>
<p class="MsoNormal">Connection check OK<o:p></o:p></p>
<p class="MsoNormal">Configuring directory server for the CA
(pkids): Estimated time 30 seconds<o:p></o:p></p>
<p class="MsoNormal"> [1/3]: creating directory server user<o:p></o:p></p>
<p class="MsoNormal"> [2/3]: creating directory server
instance<o:p></o:p></p>
<p class="MsoNormal"> [3/3]: restarting directory server<o:p></o:p></p>
<p class="MsoNormal">Done configuring directory server for the
CA (pkids).<o:p></o:p></p>
<p class="MsoNormal">Configuring certificate server (pki-cad):
Estimated time 3 minutes 30 seconds<o:p></o:p></p>
<p class="MsoNormal"> [1/16]: creating certificate server
user<o:p></o:p></p>
<p class="MsoNormal"> [2/16]: creating pki-ca instance<o:p></o:p></p>
<p class="MsoNormal"> [3/16]: configuring certificate server
instance<o:p></o:p></p>
<p class="MsoNormal">ipa : CRITICAL failed to
configure ca instance Command '/usr/bin/perl
/usr/bin/pkisilent ConfigureCA -cs_hostname
serverb.mydomain.com -cs_port 9445 -client_certdb_dir
/tmp/tmp-t3aHM7 -client_certdb_pwd XXXXXXXX -preop_pin
exoyO2y7bawG5yjZMACM -domain_name IPA -admin_user admin
-admin_email root@localhost -admin_password XXXXXXXX
-agent_name ipa-ca-agent -agent_key_size 2048
-agent_key_type rsa -agent_cert_subject
CN=ipa-ca-agent,O=MYDOMAIN.COM -ldap_host
serverb.mydomain.com -ldap_port 7389 -bind_dn cn=Directory
Manager -bind_password XXXXXXXX -base_dn o=ipaca -db_name
ipaca -key_size 2048 -key_type rsa -key_algorithm
SHA256withRSA -save_p12 true -backup_pwd XXXXXXXX
-subsystem_name pki-cad -token_name internal
-ca_subsystem_cert_subject_name CN=CA
Subsystem,O=MYDOMAIN.COM -ca_subsystem_cert_subject_name
CN=CA Subsystem,O=MYDOMAIN.COM -ca_ocsp_cert_subject_name
CN=OCSP Subsystem,O=MYDOMAIN.COM
-ca_server_cert_subject_name
CN=serverb.mydomain.com,O=MYDOMAIN.COM
-ca_audit_signing_cert_subject_name CN=CA
Audit,O=MYDOMAIN.COM -ca_sign_cert_subject_name
CN=Certificate Authority,O=MYDOMAIN.COM -external false
-clone true -clone_p12_file ca.p12 -clone_p12_password
XXXXXXXX -sd_hostname servera.mydomain.com -sd_admin_port
443 -sd_admin_name admin -sd_admin_password XXXXXXXX
-clone_start_tls true -clone_uri
<a moz-do-not-send="true"
href="https://servera.mydomain.com:443">https://servera.mydomain.com:443</a>'
returned non-zero exit status 255<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Your system may be partly configured.<o:p></o:p></p>
<p class="MsoNormal">Run /usr/sbin/ipa-server-install
--uninstall to clean up.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Configuration of CA failed<o:p></o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Additional excerpt from the log file
/var/log/ipareplica-ca-install.log at the point of failure….<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#############################################<o:p></o:p></p>
<p class="MsoNormal">Attempting to connect to:
serverb.mydomain.com:9445<o:p></o:p></p>
<p class="MsoNormal">Connected.<o:p></o:p></p>
<p class="MsoNormal">Posting Query = <a
moz-do-not-send="true"
href="https://serverb.mydomain.com:9445/ca/admin/console/config/wizard?p=7&op=next&xml=true&__password=XXXXXXXX&path=ca.p12">https://serverb.mydomain.com:9445//ca/admin/console/config/wizard?p=7&op=next&xml=true&__password=XXXXXXXX&path=ca.p12</a><o:p></o:p></p>
<p class="MsoNormal">RESPONSE STATUS: HTTP/1.1 200 OK<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER: Server:
Apache-Coyote/1.1<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER: Content-Type:
application/xml;charset=UTF-8<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER: Date: Tue, 02 Dec 2014
05:44:19 GMT<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER: Connection: close<o:p></o:p></p>
<p class="MsoNormal"><?xml version="1.0"
encoding="UTF-8"?><o:p></o:p></p>
<p class="MsoNormal"><!-- BEGIN COPYRIGHT BLOCK<o:p></o:p></p>
<p class="MsoNormal"> This program is free software; you
can redistribute it and/or modify<o:p></o:p></p>
<p class="MsoNormal"> it under the terms of the GNU
General Public License as published by<o:p></o:p></p>
<p class="MsoNormal"> the Free Software Foundation;
version 2 of the License.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> This program is distributed in the
hope that it will be useful,<o:p></o:p></p>
<p class="MsoNormal"> but WITHOUT ANY WARRANTY; without
even the implied warranty of<o:p></o:p></p>
<p class="MsoNormal"> MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE. See the<o:p></o:p></p>
<p class="MsoNormal"> GNU General Public License for more
details.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> You should have received a copy of
the GNU General Public License along<o:p></o:p></p>
<p class="MsoNormal"> with this program; if not, write to
the Free Software Foundation, Inc.,<o:p></o:p></p>
<p class="MsoNormal"> 51 Franklin Street, Fifth Floor,
Boston, MA 02110-1301 USA.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Copyright (C) 2007 Red Hat, Inc.<o:p></o:p></p>
<p class="MsoNormal"> All rights reserved.<o:p></o:p></p>
<p class="MsoNormal"> END COPYRIGHT BLOCK --><o:p></o:p></p>
<p class="MsoNormal"><response><o:p></o:p></p>
<p class="MsoNormal">
<panel>admin/console/config/restorekeycertpanel.vm</panel><o:p></o:p></p>
<p class="MsoNormal"> <res/><o:p></o:p></p>
<p class="MsoNormal">
<updateStatus>failure</updateStatus><o:p></o:p></p>
<p class="MsoNormal"> <password/><o:p></o:p></p>
<p class="MsoNormal"> <errorString>The pkcs12 file is
not correct.</errorString><o:p></o:p></p>
<p class="MsoNormal"> <size>19</size><o:p></o:p></p>
<p class="MsoNormal"> <title>Import Keys and
Certificates</title><o:p></o:p></p>
<p class="MsoNormal"> <panels><o:p></o:p></p>
<p class="MsoNormal"> <Vector><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>welcome</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Welcome</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>module</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Key
Store</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal">
<Id>confighsmlogin</Id><o:p></o:p></p>
<p class="MsoNormal">
<Name>ConfigHSMLogin</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal">
<Id>securitydomain</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Security
Domain</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal">
<Id>securitydomain</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Display Certificate
Chain</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>subsystem</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Subsystem
Type</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>clone</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Display Certificate
Chain</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>restorekeys</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Import Keys and
Certificates</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>cahierarchy</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>PKI
Hierarchy</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>database</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Internal
Database</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>size</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Key
Pairs</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>subjectname</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Subject
Names</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>certrequest</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Requests and
Certificates</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>backupkeys</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Export Keys and
Certificates</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>savepk12</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Save Keys and
Certificates</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal">
<Id>importcachain</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Import CA's
Certificate Chain</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>admin</Id><o:p></o:p></p>
<p class="MsoNormal">
<Name>Administrator</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal">
<Id>importadmincert</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Import
Administrator's Certificate</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> <Panel><o:p></o:p></p>
<p class="MsoNormal"> <Id>done</Id><o:p></o:p></p>
<p class="MsoNormal"> <Name>Done</Name><o:p></o:p></p>
<p class="MsoNormal"> </Panel><o:p></o:p></p>
<p class="MsoNormal"> </Vector><o:p></o:p></p>
<p class="MsoNormal"> </panels><o:p></o:p></p>
<p class="MsoNormal"> <name>CA Setup
Wizard</name><o:p></o:p></p>
<p class="MsoNormal"> <p>7</p><o:p></o:p></p>
<p class="MsoNormal"> <path/><o:p></o:p></p>
<p class="MsoNormal"> <req/><o:p></o:p></p>
<p class="MsoNormal">
<panelname>restorekeys</panelname><o:p></o:p></p>
<p class="MsoNormal"></response><o:p></o:p></p>
<p class="MsoNormal">Error in RestoreKeyCertPanel():
updateStatus returns failure<o:p></o:p></p>
<p class="MsoNormal">ERROR: ConfigureCA: RestoreKeyCertPanel()
failure<o:p></o:p></p>
<p class="MsoNormal">ERROR: unable to create CA<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#######################################################################<o:p></o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z DEBUG stderr=<o:p></o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z CRITICAL failed to
configure ca instance Command '/usr/bin/perl
/usr/bin/pkisilent ConfigureCA -cs_hostname
serverb.mydomain.com -cs_port 9445 -client_certdb_dir
/tmp/tmp-1Tqws5 -client_certdb_pwd XXXXXXXX -preop_pin
rdkE0y2CiGMKNcRRPKKc -domain_name IPA -admin_user admin
-admin_email root@localhost -admin_password XXXXXXXX
-agent_name ipa-ca-agent -agent_key_size 2048
-agent_key_type rsa -agent_cert_subject
CN=ipa-ca-agent,O=MYDOMAIN.COM -ldap_host
serverb.mydomain.com -ldap_port 7389 -bind_dn cn=Directory
Manager -bind_password XXXXXXXX -base_dn o=ipaca -db_name
ipaca -key_size 2048 -key_type rsa -key_algorithm
SHA256withRSA -save_p12 true -backup_pwd XXXXXXXX
-subsystem_name pki-cad -token_name internal
-ca_subsystem_cert_subject_name CN=CA
Subsystem,O=MYDOMAIN.COM -ca_subsystem_cert_subject_name
CN=CA Subsystem,O=MYDOMAIN.COM -ca_ocsp_cert_subject_name
CN=OCSP Subsystem,O=MYDOMAIN.COM
-ca_server_cert_subject_name
CN=serverb.mydomain.com,O=MYDOMAIN.COM
-ca_audit_signing_cert_subject_name CN=CA
Audit,O=MYDOMAIN.COM -ca_sign_cert_subject_name
CN=Certificate Authority,O=MYDOMAIN.COM -external false
-clone true -clone_p12_file ca.p12 -clone_p12_password
XXXXXXXX -sd_hostname servera.mydomain.com -sd_admin_port
443 -sd_admin_name admin -sd_admin_password XXXXXXXX
-clone_start_tls true -clone_uri <a moz-do-not-send="true"
href="https://servera.mydomain.com:443">
https://servera.mydomain.com:443</a>' returned non-zero
exit status 255<o:p></o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z INFO File
"/usr/lib/python2.6/site-packages/ipaserver/install/installutils.py",
line 614, in run_script<o:p></o:p></p>
<p class="MsoNormal"> return_value = main_function()<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> File "/usr/sbin/ipa-ca-install", line
149, in main<o:p></o:p></p>
<p class="MsoNormal"> (CA, cs) =
cainstance.install_replica_ca(config, postinstall=True)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> File
"/usr/lib/python2.6/site-packages/ipaserver/install/cainstance.py",
line 1626, in install_replica_ca<o:p></o:p></p>
<p class="MsoNormal"> subject_base=config.subject_base)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> File
"/usr/lib/python2.6/site-packages/ipaserver/install/cainstance.py",
line 626, in configure_instance<o:p></o:p></p>
<p class="MsoNormal"> self.start_creation(runtime=210)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> File
"/usr/lib/python2.6/site-packages/ipaserver/install/service.py",
line 358, in start_creation<o:p></o:p></p>
<p class="MsoNormal"> method()<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> File
"/usr/lib/python2.6/site-packages/ipaserver/install/cainstance.py",
line 888, in __configure_instance<o:p></o:p></p>
<p class="MsoNormal"> raise RuntimeError('Configuration of
CA failed')<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z INFO The
ipa-ca-install command failed, exception: RuntimeError:
Configuration of CA failed<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I am not sure why this is happening.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certutil shows that the setup isn’t
complete on serverb when comparing against the CA replica in
my test servers which were successful.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># certutil -L -d /var/lib/pki-ca/alias<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certificate
Nickname Trust
Attributes<o:p></o:p></p>
<p class="MsoNormal">
SSL,S/MIME,JAR/XPI<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certificate Authority -
MYDOMAIN.COM CT,c,<o:p></o:p></p>
<p class="MsoNormal">Server-Cert
cert-pki-ca CTu,Cu,Cu<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># certutil -K -d /var/lib/pki-ca/alias<o:p></o:p></p>
<p class="MsoNormal">certutil: Checking token "NSS Certificate
DB" in slot "NSS User Private Key and Certificate Services"<o:p></o:p></p>
<p class="MsoNormal">Enter Password or Pin for "NSS
Certificate DB":<o:p></o:p></p>
<p class="MsoNormal">< 0> rsa
ef25de4fb656a27e297899509bc3dad582bcd643 NSS Certificate
DB:Server-Cert cert-pki-ca<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">As yet, I have not tried
“/usr/sbin/ipa-server-install –uninstall” in an attempt to
cleanup as this is a production server and apart from CA
replication, it is running fine. I have tried multiple times
manually removing pki instances and reinstalling but it
still won’t get past the above error.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Can anyone shed any light on this?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks in advance,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Les<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">--
Thank you,
Dmitri Pal
Sr. Engineering Manager IdM portfolio
Red Hat, Inc.</pre>
</body>
</html>