<div dir="ltr"><div>hi,<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 16, 2016 at 4:22 PM, Rob Crittenden <span dir="ltr"><<a target="_blank" href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
The 3 certs you list are the ones that are renewed via the IPA API (as opposed to the subsystem certs renewed directly by dogtag). I think the failures are all related. I had someone else report the CSR decoding failure and he just restarted IPA and that fixes things for him though it was a rather unsatisfying fix.<br>
<br>
What I'd do is this. Assuming each step works, move onto the next.<br>
<br>
1. ipa cert-show 1<br>
<br>
The serial # picked more or less at random, we're testing connectivity and that the CA is up and operational.<br>
<br>
2. I assume that getcert list | grep expire shows all certs currently valid? The IPA service certs expire in a month, how about the CA subsystem certs?<br>
<br>
3. Is this the same server having problems talking to the CA due to the other NSS errors? If so what I'd do is restart httpd then immediately use ipa-getcert to resubmit the requests to try to get into that few minute window.<br>
<br>
If this is the same box you already have debugging enabled so seeing what that shows might be helpful.<span class="gmail-HOEnZb"><font color="#888888"><br>
<br>
rob<br>
</font></span></blockquote></div><br><br></div><div class="gmail_extra">yes, all certs are valid (see attachment getcert.txt).<br><br></div><div class="gmail_extra">So I restarted httpd, I could execute ipa cert-show 1 and get an answer, inmediately after I run <br><br>$ sudo ipa-getcert resubmit -i 20121107212513<br>Resubmitting "20121107212513" to "IPA".<br><br></div><div class="gmail_extra">and now the status is the one you see in the attached getcert.txt file. The server failed request, will retry.<br><br></div><div class="gmail_extra">I do not know if it's important, but I saw that the usercertificate attribute of the pki user admin was expired.1<br><br></div><div class="gmail_extra">I attach the error_log of httpd as well.<br clear="all"></div><div class="gmail_extra"><br>-- <br><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div>