<div dir="ltr"><div>hi,<br><br></div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 12, 2016 at 9:48 PM, Rob Crittenden <span dir="ltr"><<a target="_blank" href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span class="gmail-">Natxo Asenjo wrote:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
hi,<br>
<br>
I can reproduce this everytime. Restarting httpd fixes it for a while,<br>
but then ik stops working:<br>
<br>
$ ipa cert-show 1<br>
ipa: ERROR: cannot connect to<br>
'<a target="_blank" rel="noreferrer" href="https://kdc01.unix.domain.tld:443/ca/agent/ca/displayBySerial">https://kdc01.unix.domain.tld<wbr>:443/ca/agent/ca/displayBySeri<wbr>al</a>':<br>
(SEC_ERROR_LEGACY_DATABASE) The certificate/key database is in an old,<br>
unsupported format.<br>
</blockquote>
<br></span>
It is very strange that it goes from a working to a non-working state.<br>
<br>
I have only two suggestions:<br>
<br>
1. Create /etc/ipa/server.conf with a [global] section and debug=True in it, restart httpd. Your log will be quite a bit more verbose but given it reproduces so quickly hopefully won't be too big a deal. That might show something.<br>
<br>
2. Try brute force with strace. Finding the right httpd process to strace can be frustrating but usually there are only 8 and they rotate so eventually you should get the right one.<br></blockquote><div><br></div></div>Could I send you the log files privately?<br></div><div class="gmail_extra"><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div></div>