<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:SimSun;
panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
{font-family:SimSun;
panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"\@SimSun";
panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p
{mso-style-priority:99;
mso-margin-top-alt:auto;
margin-right:0in;
mso-margin-bottom-alt:auto;
margin-left:0in;
font-size:12.0pt;
font-family:"Times New Roman","serif";}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">This is Kay. <o:p></o:p></p>
<p class="MsoNormal">I am not sure if the email address is correct, and I am really appreciate if there is any help for my issue. it’s baffling for few days, and the expire date is coming soon..
<span style="font-family:Wingdings">L</span><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">There is a IPA 2.2 environment, and three “Server-Cert”(<span style="font-size:10.5pt;font-family:"Arial","sans-serif";color:#2E3436;background:white">
</span>two 389-ds and the Apache certs) will be expired at 2016-06-05 22:03:17 UTC.<o:p></o:p></p>
<p class="MsoNormal">Two years ago, these certs were renewed by other guys according to this document:
<a href="http://www.freeipa.org/page/IPA_2x_Certificate_Renewal">http://www.freeipa.org/page/IPA_2x_Certificate_Renewal</a>
<o:p></o:p></p>
<p class="MsoNormal">and it was successful then the certificates has been renewed until 20160605.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">But recently I want to renew it again since the expire date is coming. Then I follow the above guide, however things not go well.<o:p></o:p></p>
<p class="MsoNormal">As below, it’s the 8 certs which certmonger are tracking:<o:p></o:p></p>
<table class="MsoTableGrid" border="1" cellspacing="0" cellpadding="0" style="border-collapse:collapse;border:none">
<tbody>
<tr>
<td width="638" valign="top" style="width:6.65in;border:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt">
<p class="MsoNormal">root@ecnshlx3039-test2(SH):~ #getcert list<o:p></o:p></p>
<p class="MsoNormal">Number of certificates and requests being tracked: 8.<o:p></o:p></p>
<p class="MsoNormal">Request ID '20120704140859':<o:p></o:p></p>
<p class="MsoNormal"> status: CA_UNREACHABLE<o:p></o:p></p>
<p class="MsoNormal"> ca-error: Server failed request, will retry: 4301 (RPC failed at server. Certificate operation cannot be completed: EXCEPTION (Invalid Credential.)).<o:p></o:p></p>
<p class="MsoNormal"> stuck: yes<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-DRUTT-COM',nickname='Server-Cert',token='NSS Certificate DB',pinfile=' /etc/dirsrv/slapd-DRUTT-COM/pwdfile.txt'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/etc/dirsrv/slapd-DRUTT-COM',nickname='Server-Cert',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: IPA<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=ipa1.drutt.com,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2016-06-05 22:03:17 UTC<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-serverAuth,id-kp-clientAuth<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command: /usr/lib64/ipa/certmonger/restart_dirsrv DRUTT-COM<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal">Request ID '20120704140922':<o:p></o:p></p>
<p class="MsoNormal"> status: CA_UNREACHABLE<o:p></o:p></p>
<p class="MsoNormal"> ca-error: Server failed request, will retry: 4301 (RPC failed at server. Certificate operation cannot be completed: EXCEPTION (Invalid Credential.)).<o:p></o:p></p>
<p class="MsoNormal"> stuck: yes<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-PKI-IPA',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/e tc/dirsrv/slapd-PKI-IPA/pwdfile.txt'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/etc/dirsrv/slapd-PKI-IPA',nickname='Server-Cert',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: IPA<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=ipa1.drutt.com,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2016-06-05 22:03:17 UTC<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-serverAuth,id-kp-clientAuth<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command:<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal">Request ID '20120704141150':<o:p></o:p></p>
<p class="MsoNormal"> status: CA_UNREACHABLE<o:p></o:p></p>
<p class="MsoNormal"> ca-error: Server failed request, will retry: 4301 (RPC failed at server. Certificate operation cannot be completed: EXCEPTION (Invalid Credential.)).<o:p></o:p></p>
<p class="MsoNormal"> stuck: yes<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/ alias/pwdfile.txt'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: IPA<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=ipa1.drutt.com,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2016-06-05 22:03:17 UTC<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-serverAuth,id-kp-clientAuth<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command: /usr/lib64/ipa/certmonger/restart_httpd<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal">Request ID '20140605220249':<o:p></o:p></p>
<p class="MsoNormal"> status: MONITORING<o:p></o:p></p>
<p class="MsoNormal"> stuck: no<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='ipaCert',token='NSS Certificate DB',pinfile='/etc/httpd/alia s/pwdfile.txt'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/etc/httpd/alias',nickname='ipaCert',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: dogtag-ipa-renew-agent<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=IPA RA,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2014-06-24 14:08:50 UTC<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-serverAuth,id-kp-clientAuth<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command:<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal">Request ID '20160527075219':<o:p></o:p></p>
<p class="MsoNormal"> status: MONITORING<o:p></o:p></p>
<p class="MsoNormal"> stuck: no<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='auditSigningCert cert-pki-ca',token='NSS Certificate DB ',pin='565569846212'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='auditSigningCert cert-pki-ca',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: dogtag-ipa-renew-agent<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=CA Audit,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2014-06-24 14:08:42 UTC<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command:<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal">Request ID '20160527075220':<o:p></o:p></p>
<p class="MsoNormal"> status: MONITORING<o:p></o:p></p>
<p class="MsoNormal"> stuck: no<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='ocspSigningCert cert-pki-ca',token='NSS Certificate DB' ,pin='565569846212'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='ocspSigningCert cert-pki-ca',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: dogtag-ipa-renew-agent<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=OCSP Subsystem,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2014-06-24 14:08:41 UTC<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-OCSPSigning<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command:<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal">Request ID '20160527075221':<o:p></o:p></p>
<p class="MsoNormal"> status: MONITORING<o:p></o:p></p>
<p class="MsoNormal"> stuck: no<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='subsystemCert cert-pki-ca',token='NSS Certificate DB',p in='565569846212'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='subsystemCert cert-pki-ca',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: dogtag-ipa-renew-agent<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=CA Subsystem,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2014-06-24 14:08:41 UTC<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-serverAuth,id-kp-clientAuth<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command:<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal">Request ID '20160527075222':<o:p></o:p></p>
<p class="MsoNormal"> status: MONITORING<o:p></o:p></p>
<p class="MsoNormal"> stuck: no<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='Server-Cert cert-pki-ca',token='NSS Certificate DB',pin ='565569846212'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/var/lib/pki-ca/alias',nickname='Server-Cert cert-pki-ca',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: dogtag-ipa-renew-agent<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=ipa1.drutt.com,O=DRUTT.COM<o:p></o:p></p>
<p class="MsoNormal"> expires: 2014-06-24 14:08:41 UTC<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-serverAuth<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command:<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Follow all the steps in the guide, the result is just first three certificates are renewed to 20160622 if I set system time to 20140623(which the four CA subsystem certs and CA cert are valid).<o:p></o:p></p>
<p class="MsoNormal">But other five are not renewed at all (the four CA subsystem certs and CA cert). there is no error information during these steps.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">I google a lot but still found nothing could resolve it. and then I found there was a similar thread</span>:
<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><a href="https://www.redhat.com/archives/freeipa-users/2015-October/msg00174.html">https://www.redhat.com/archives/freeipa-users/2015-October/msg00174.html</a><o:p></o:p></span></p>
<p class="MsoNormal">But unfortunately the solution is not available for my issue either.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Since I am not familiar with Freeipa, so it bothers me so much.
<o:p></o:p></p>
<p class="MsoNormal">Any help will be really appreciate. Thansks in advance!<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
<p class="MsoNormal">BR//Kay<o:p></o:p></p>
</div>
</body>
</html>