<div dir="ltr"><div><div>I am not able to setup a replica using the 'ipa-replica-prepare' command. After some debugging this appears related to the certmonger/dogtag system that is incorporated with FreeIPA. I am including the output below of any relevant logs / commands.<br><br></div><div>----- ipa-replica-prepare -----<br><br>ipa-replica-prepare <a href="http://newipa.example.com">newipa.example.com</a> --ca=/etc/ipa/ca.crt --password 'somepassword'<br>Preparing replica for <a href="http://newipa.example.com">newipa.example.com</a> from <a href="http://ipa.example.com">ipa.example.com</a><br>Creating SSL certificate for the Directory Server<br>Certificate operation cannot be completed: Unable to communicate with CMS (Not Found)<br></div><div><br></div>----- ipa-getcert list -----<br><br>Number of certificates and requests being tracked: 8.<br>Request ID '20140811232518':<br>    status: CA_UNREACHABLE<br>    ca-error: Server at <a href="https://ipa.example.com/ipa/xml">https://ipa.example.com/ipa/xml</a> failed request, will retry: 4301 (RPC failed at server.  Certificate operation cannot be completed: Unable to communicate with CMS (Not Found)).<br>    stuck: no<br>    key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-PKI-IPA',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-PKI-IPA/pwdfile.txt'<br>    certificate: type=NSSDB,location='/etc/dirsrv/slapd-PKI-IPA',nickname='Server-Cert',token='NSS Certificate DB'<br>    CA: IPA<br>    issuer: CN=Certificate Authority,O=EXAMPLE<br>    subject: CN=<a href="http://ipa.example.com">ipa.example.com</a>,O=EXAMPLE<br>    expires: 2016-08-11 23:24:36 UTC<br>    key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment<br>    eku: id-kp-serverAuth,id-kp-clientAuth<br>    pre-save command:<br>    post-save command:<br>    track: yes<br>    auto-renew: yes<br>Request ID '20140811232742':<br>    status: CA_UNREACHABLE<br>    ca-error: Server at <a href="https://ipa.example.com/ipa/xml">https://ipa.example.com/ipa/xml</a> failed request, will retry: 4301 (RPC failed at server.  Certificate operation cannot be completed: Unable to communicate with CMS (Not Found)).<br>    stuck: no<br>    key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-EXAMPLE',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-COLOVORE/pwdfile.txt'<br>    certificate: type=NSSDB,location='/etc/dirsrv/slapd-EXAMPLE',nickname='Server-Cert',token='NSS Certificate DB'<br>    CA: IPA<br>    issuer: CN=Certificate Authority,O=EXAMPLE<br>    subject: CN=<a href="http://ipa.example.com">ipa.example.com</a>,O=EXAMPLE<br>    expires: 2016-08-11 23:24:34 UTC<br>    key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment<br>    eku: id-kp-serverAuth,id-kp-clientAuth<br>    pre-save command:<br>    post-save command:<br>    track: yes<br>    auto-renew: yes<br>Request ID '20140811232843':<br>    status: CA_UNREACHABLE<br>    ca-error: Server at <a href="https://ipa.example.com/ipa/xml">https://ipa.example.com/ipa/xml</a> failed request, will retry: 4301 (RPC failed at server.  Certificate operation cannot be completed: Unable to communicate with CMS (Not Found)).<br>    stuck: no<br>    key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'<br>    certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB'<br>    CA: IPA<br>    issuer: CN=Certificate Authority,O=EXAMPLE<br>    subject: CN=<a href="http://ipa.example.com">ipa.example.com</a>,O=EXAMPLE<br>    expires: 2016-08-11 23:24:37 UTC<br>    key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment<br>    eku: id-kp-serverAuth,id-kp-clientAuth<br>    pre-save command:<br>    post-save command:<br>    track: yes<br>    auto-renew: yes<br><br></div><div>----- /etc/pki-ca/password.conf -----<br><br>internal=829325937546<br>internaldb=somepassword<br>replicationdb=1270571739<br></div><div><br></div>----- /var/log/pki-ca/debug -----<br><br>[22/Mar/2015:06:45:10][main]: CMSEngine: done init id=profile<br>[22/Mar/2015:06:45:10][main]: CMSEngine: initialized profile<br>[22/Mar/2015:06:45:10][main]: CMSEngine: initSubsystem id=selftests<br>[22/Mar/2015:06:45:10][main]: CMSEngine: ready to init id=selftests<br>[22/Mar/2015:06:45:10][main]: SelfTestSubsystem::init():  ENTERING . . .<br>[22/Mar/2015:06:45:10][main]: SelfTestSubsystem::init():    loading self test logger parameters<br>[22/Mar/2015:06:45:10][main]: CMS:Caught EBaseException<br>The self test plugin named selftests.container.logger.class contains a value com.netscape.cms.logging.RollingLogFile which is invalid.<br>    at com.netscape.cmscore.selftests.SelfTestSubsystem.init(SelfTestSubsystem.java:1422)<br>    at com.netscape.cmscore.apps.CMSEngine.initSubsystem(CMSEngine.java:866)<br>    at com.netscape.cmscore.apps.CMSEngine.initSubsystems(CMSEngine.java:795)<br>    at com.netscape.cmscore.apps.CMSEngine.init(CMSEngine.java:316)<br>    at com.netscape.certsrv.apps.CMS.init(CMS.java:153)<br>    at com.netscape.certsrv.apps.CMS.start(CMS.java:1530)<br>    at com.netscape.cms.servlet.base.CMSStartServlet.init(CMSStartServlet.java:85)<br>    at org.apache.catalina.core.StandardWrapper.loadServlet(StandardWrapper.java:1173)<br>    at org.apache.catalina.core.StandardWrapper.load(StandardWrapper.java:993)<br>    at org.apache.catalina.core.StandardContext.loadOnStartup(StandardContext.java:4425)<br>    at org.apache.catalina.core.StandardContext.start(StandardContext.java:4738)<br>    at org.apache.catalina.core.ContainerBase.addChildInternal(ContainerBase.java:791)<br>    at org.apache.catalina.core.ContainerBase.addChild(ContainerBase.java:771)<br>    at org.apache.catalina.core.StandardHost.addChild(StandardHost.java:526)<br>    at org.apache.catalina.startup.HostConfig.deployDirectory(HostConfig.java:1041)<br>    at org.apache.catalina.startup.HostConfig.deployDirectories(HostConfig.java:964)<br>    at org.apache.catalina.startup.HostConfig.deployApps(HostConfig.java:502)<br>    at org.apache.catalina.startup.HostConfig.start(HostConfig.java:1277)<br>    at org.apache.catalina.startup.HostConfig.lifecycleEvent(HostConfig.java:321)<br>    at org.apache.catalina.util.LifecycleSupport.fireLifecycleEvent(LifecycleSupport.java:142)<br>    at org.apache.catalina.core.ContainerBase.start(ContainerBase.java:1053)<br>    at org.apache.catalina.core.StandardHost.start(StandardHost.java:722)<br>    at org.apache.catalina.core.ContainerBase.start(ContainerBase.java:1045)<br>    at org.apache.catalina.core.StandardEngine.start(StandardEngine.java:443)<br>    at org.apache.catalina.core.StandardService.start(StandardService.java:516)<br>    at org.apache.catalina.core.StandardServer.start(StandardServer.java:710)<br>    at org.apache.catalina.startup.Catalina.start(Catalina.java:593)<br>    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)<br>    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57)<br>    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)<br>    at java.lang.reflect.Method.invoke(Method.java:606)<br>    at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:289)<br>    at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:414)<br>[22/Mar/2015:06:45:10][main]: CMSEngine.shutdown()<br>[22/Mar/2015:06:45:25][http-9444-1]: according to ccMode, authorization for servlet: caProfileSubmitSSLClient is LDAP based, not XML {1}, use default authz mgr: {2}.<br>[22/Mar/2015:06:45:25][http-9444-1]: according to ccMode, authorization for servlet: caProfileSubmitSSLClient is LDAP based, not XML {1}, use default authz mgr: {2}.<br>[22/Mar/2015:06:50:09][Timer-0]: CMSEngine: getPasswordStore(): password store initialized before.<br>[22/Mar/2015:06:50:09][Timer-0]: CMSEngine: getPasswordStore(): password store initialized.<br><div><div><div><div><div>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: About to start updateCertStatus<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Starting updateCertStatus (entered lock)<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In updateCertStatus()<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In LdapBoundConnFactory::getConn()<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: masterConn is connected: true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: conn is connected true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: mNumConns now 2<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getInvalidCertificatesByNotBeforeDate filter (certStatus=INVALID)<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getInvalidCertificatesByNotBeforeDate: about to call findCertRecordsInList<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In LdapBoundConnFactory::getConn()<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: masterConn is connected: true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: conn is connected true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: mNumConns now 1<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In findCertRecordsInListRawJumpto with Jumpto 20150322065510Z<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In DBVirtualList filter attrs startFrom sortKey pageSize filter: (certStatus=INVALID) attrs: [objectclass, certRecordId, x509cert] pageSize -200 startFrom 20150322065510Z<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: returnConn: mNumConns now 2<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In getInvalidCertsByNotBeforeDate finally.<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: returnConn: mNumConns now 3<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getEntries returning 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: mTop 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Getting Virtual List size: 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: index may be empty<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In LdapBoundConnFactory::getConn()<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: masterConn is connected: true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: conn is connected true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: mNumConns now 2<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getValidCertsByNotAfterDate filter (certStatus=VALID)<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In LdapBoundConnFactory::getConn()<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: masterConn is connected: true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: conn is connected true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: mNumConns now 1<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In findCertRecordsInListRawJumpto with Jumpto 20150322065510Z<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In DBVirtualList filter attrs startFrom sortKey pageSize filter: (certStatus=VALID) attrs: [objectclass, certRecordId, x509cert] pageSize -200 startFrom 20150322065510Z<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: returnConn: mNumConns now 2<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: returnConn: mNumConns now 3<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getEntries returning 1<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: mTop 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Getting Virtual List size: 69<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: transidValidCertificates: list size: 69<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: transitValidCertificates: ltSize 1<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getElementAt: 0 mTop 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: reverse direction getting index 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Record does not qualify,notAfter Sat Jul 09 05:12:31 UTC 2016 date Sun Mar 22 06:55:10 UTC 2015<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: transitCertList EXPIRED<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In LdapBoundConnFactory::getConn()<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: masterConn is connected: true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: conn is connected true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: mNumConns now 2<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getRevokedCertificatesByNotAfterDate filter (certStatus=REVOKED)<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getRevokedCertificatesByNotAfterDate: about to call findCertRecordsInList<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In LdapBoundConnFactory::getConn()<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: masterConn is connected: true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: conn is connected true<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getConn: mNumConns now 1<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In findCertRecordsInListRawJumpto with Jumpto 20150322065510Z<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: In DBVirtualList filter attrs startFrom sortKey pageSize filter: (certStatus=REVOKED) attrs: [objectclass, certRevokedOn, certRecordId, certRevoInfo, notAfter, x509cert] pageSize -200 startFrom 20150322065510Z<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: returnConn: mNumConns now 2<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: returnConn: mNumConns now 3<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getEntries returning 1<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: mTop 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Getting Virtual List size: 5<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: transitRevokedExpiredCertificates: list size: 5<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: transitRevokedExpiredCertificates: ltSize 1<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: getElementAt: 0 mTop 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: reverse direction getting index 0<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: transitRevokedExpired: curRec: 0 CertRecord:     268369925<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Record does not qualify,notAfter Wed Jul 20 06:25:57 UTC 2016 date Sun Mar 22 06:55:10 UTC 2015<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: transitCertList REVOKED_EXPIRED<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: updateCertStatus done<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Starting cert checkRanges<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Server not completely started.  Returning ..<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: cert checkRanges done<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Starting request checkRanges<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: Server not completely started.  Returning ..<br>[22/Mar/2015:06:55:10][CertStatusUpdateThread]: request checkRanges done<br clear="all"><br></div></div></div></div></div></div>