<div dir="ltr"><div class="gmail_extra"><div class="gmail_extra" style="font-size:12.8px">A massive thank you to Jan Cholasta for handholding me while I was getting this problem fixed. This is how we did it...</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px">1. List all CA certificates in LDAP directory:</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px"><font face="monospace, monospace">ldapsearch -b cn=certificates,cn=ipa,$basedn</font><br></div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px">2. Using ldapdelete (or LDAP browser), get rid of all certificates that shouldn't be there, in my case there were 2 called "CA 1" and "CA 2"</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px">3. On each server, list all certificates in the following databases ($db):</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px">- /etc/httpd/alias/</div><div class="gmail_extra" style="font-size:12.8px">- /etc/dirsrv/slapd-IPA-YOUR-REALM/</div><div class="gmail_extra" style="font-size:12.8px">- /etc/pki/nssdb/</div><div class="gmail_extra" style="font-size:12.8px">- /etc/ipa/nssdb/</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px"><font face="monospace, monospace">certutil -L -d $db</font></div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px">4. On each server, delete duplicated certificates ($nick = Certificate Nickname) from the above databases. Please note, this step removed both correct and incorrect certificates:</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px"><span style="font-size:12.8px"><font face="monospace, monospace">certutil -D -d $db -n "$nick"</font></span><br></div><div class="gmail_extra" style="font-size:12.8px"><span style="font-family:monospace,monospace;font-size:12.8px"><br></span></div><div class="gmail_extra" style="font-size:12.8px"><font face="arial, helvetica, sans-serif">5. We had a conflict between one of our intermediate CA certificates supplied by Gandi and a system certificate (potentially installed by ca-certificates package) therefore we had to run the following command on every server to stop the system cert being loaded into httpd database:</font></div><div class="gmail_extra" style="font-size:12.8px"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_extra"><span style="font-size:12.8px"><font face="monospace, monospace">modutil -dbdir /etc/httpd/alias -disable 'Root Certs' -force</font></span><br></div><div class="gmail_extra" style="font-size:12.8px"><span style="font-family:monospace,monospace;font-size:12.8px"><br></span></div><div class="gmail_extra" style="font-size:12.8px"><span style="font-size:12.8px"><font face="arial, helvetica, sans-serif">6. Lastly, we ran the following command on every server to load correct certificates into all databases:</font></span></div><div class="gmail_extra" style="font-size:12.8px"><span style="font-size:12.8px"><font face="arial, helvetica, sans-serif"><br></font></span></div><div class="gmail_extra" style="font-size:12.8px"><span style="font-size:12.8px"><font face="monospace, monospace">ipa-certupdate</font></span></div><div class="gmail_extra" style="font-size:12.8px"><span style="font-family:monospace,monospace;font-size:12.8px"><br></span></div><div class="gmail_extra" style="font-size:12.8px">At this point we had a fully functioning system again with the correct SSL certificate chain being served by both httpd and dirsrv services.</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px">Please note, an incorrect CA certificate was re-added to the LDAP directory later on when I deployed a new node and I had to repeat step 2 before running ipa-certupdate on the new replica.</div><div class="gmail_extra" style="font-size:12.8px"><br></div><div class="gmail_extra" style="font-size:12.8px">Once again, I would like to thank Jan for his input - keep up the good work!</div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Kind regards,<div> Peter Pakos</div></div></div>
</div></div>