<div dir="ltr">Yes that looks exactly like it, thank you.<div>Are you aware of a workaround available? Like changing manually the CS.cfg?</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 27 February 2016 at 21:40, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sat, 27 Feb 2016, Alessandro De Maria wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
great that explains a lot! Thank you.<br>
<br>
My hunt for > 4.2.0 was just because in the release note for 4.2.1 it had:<br>
<br></span>
  - Various fixes for new Certificates Profiles feature<span class=""><br>
<br>
<br>
So I immediately assumed the problem I might be experiencing could be fixed<br>
by an upgrade (I have tried everything else I know)<br>
<br>
But thank you this is already very helpful.<br>
<br>
I hope I can find some other pointed to understand my issue then.<br>
</span></blockquote>
I think you are hitting <a href="https://fedorahosted.org/freeipa/ticket/5682" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/5682</a><br>
<br>
commit 704319c3eaf74e0531dd2aa1e5880db7b6ab830c<br>
Author: Martin Babinsky <<a href="mailto:mbabinsk@redhat.com" target="_blank">mbabinsk@redhat.com</a>><br>
Date:   Mon Feb 22 13:35:41 2016 +0100<br>
<br>
   upgrade: unconditional import of certificate profiles into LDAP<br>
      During IPA server upgrade, the migration of Dogtag profiles into LDAP<br>
   backend was bound to the update of CS.cfg which enabled the LDAP profile<br>
   subsystem. If the subsequent profile migration failed, the subsequent<br>
   upgrades were not executing the migration code leaving CA subsystem in<br>
   broken state. Therefore the migration code path should be executed<br>
   regardless of the status of the main Dogtag config file.<br>
      <a href="https://fedorahosted.org/freeipa/ticket/5682" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/5682</a><br>
      Reviewed-By: Fraser Tweedale <<a href="mailto:ftweedal@redhat.com" target="_blank">ftweedal@redhat.com</a>><br>
   Reviewed-By: Jan Cholasta <<a href="mailto:jcholast@redhat.com" target="_blank">jcholast@redhat.com</a>><br>
<br>
This should be part of 4.2.4 release and will eventually make into<br>
RHEL/CentOS updates.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Alessandro De Maria<br><a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a></div>
</div>