<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div>hi,<br><br></div>I followed the instructions here: <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/upgrading.html">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/upgrading.html</a><br><br></div>and now after some issues I have a replica with both pki and dns data running centos 7.<br><br></div>So now I have 3 replicas:<br><br></div>centos 6.8:<br></div><a href="http://kdc01.unix.iriszorg.nl">kdc01.unix.iriszorg.nl</a><br></div><a href="http://kdc02.unix.iriszorg.nl">kdc02.unix.iriszorg.nl</a><br><br></div>centos 7.2<br></div><a href="http://kdc03.unix.iriszorg.nl">kdc03.unix.iriszorg.nl</a><br><br></div>The replica was created with an agreement to <a href="http://kdc01.unix.iriszorg.nl">kdc01.unix.iriszorg.nl</a> which was the master for crl updates. I followed the steps to disabled crlcache and crlupdates on the kdc01 and to enable them on the kdc03.<br><br></div>So in the kdc01 I edited /etc/httpd/conf.d/ipa-pki-proxy.conf and uncommented<br><br># Only enable this on servers that are not generating a CRL<br>RewriteRule ^/ipa/crl/MasterCRL.bin <a href="https://kdc03.unix.iriszorg.nl/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL">https://kdc03.unix.iriszorg.nl/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL</a> [L,R=301,NC]<br><br></div>and on the kdc03 i commented this out:<br><br># Only enable this on servers that are not generating a CRL<br>#RewriteRule ^/ipa/crl/MasterCRL.bin <a href="https://kdc03.unix.iriszorg.nl/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL">https://kdc03.unix.iriszorg.nl/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL</a> [L,R=301,NC]<br><br><br clear="all"><div><div><div><div><div><div><div><div><div><div><div><div><div><div><div>When I try to resubmit certificates from certmonger they still hit the kdc01 web server, so the requests hang on an status: CA_UNREACHABLE<br>    ca-error: Server failed request, will retry: 4301 (RPC failed at server.  Certificate operation cannot be completed: Failure decoding Certificate Signing Request).<br><br><br></div><div>Which was the problem on a recent thread on the list (trying to get rid of this replica now to fix this problem as well).<br><br></div><div>So something is not redirecting properly and I would appreciate your assistance.<br><br></div><div>TIA.<br><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>