<div dir="ltr"><div>hi,<br><br></div>after our upgrade from centos 6.8 to 7.2, when I renew a certificate using ipa-getcert resubmit -i xxxxxx the certificate is properly renewed, but the info on ipa host-show still shows the old certificate info. Is this normal?<br><br>$ sudo getcert list | grep expires<br><div><div>    expires: 2018-09-27 19:46:03 UTC<br><br></div><div>so that certificate has successfully been renewed, but this is the host's info:<br><br></div><div>$ ipa host-show hostname | grep -i after<br>     Not After: Wed Jun 07 14:30:47 2017 UTC<br><br></div><div>and I see there as well more than one certificate for that host:<br><br>$ ipa cert-find --subject=hostname<br>----------------------<br>5 certificates matched<br>----------------------<br>  Serial number (hex): 0xFF90008<br>  Serial number: 267976712<br>  Status: VALID<br>  Subject: CN=<a href="http://hostname.unix.iriszorg.nl">hostname.unix.iriszorg.nl</a>,O=<a href="http://UNIX.IRISZORG.NL">UNIX.IRISZORG.NL</a><br><br>  Serial number (hex): 0xFF90009<br>  Serial number: 267976713<br>  Status: VALID<br>  Subject: CN=<a href="http://hostname.unix.iriszorg.nl">hostname.unix.iriszorg.nl</a>,O=<a href="http://UNIX.IRISZORG.NL">UNIX.IRISZORG.NL</a><br><br>  Serial number (hex): 0xFF9000A<br>  Serial number: 267976714<br>  Status: VALID<br>  Subject: CN=<a href="http://hostname.unix.iriszorg.nl">hostname.unix.iriszorg.nl</a>,O=<a href="http://UNIX.IRISZORG.NL">UNIX.IRISZORG.NL</a><br><br>  Serial number (hex): 0xFFF001D<br>  Serial number: 268369949<br>  Status: REVOKED_EXPIRED<br>  Subject: CN=<a href="http://hostname.unix.iriszorg.nl">hostname.unix.iriszorg.nl</a>,O=<a href="http://UNIX.IRISZORG.NL">UNIX.IRISZORG.NL</a><br><br>  Serial number (hex): 0xFFF0093<br>  Serial number: 268370067<br>  Status: REVOKED<br>  Subject: CN=<a href="http://hostname.unix.iriszorg.nl">hostname.unix.iriszorg.nl</a>,O=<a href="http://UNIX.IRISZORG.NL">UNIX.IRISZORG.NL</a><br>----------------------------<br>Number of entries returned 5<br>----------------------------<br><br></div><div>And three of them are still valid. As a comparison, another hosts which was installed about the same time also has 5 certificates, but 4 are revoked and the expires info of getcert list and of the valid certificate are the same.<br><br></div><div>So how do I correct this?<br></div><div>-- <br><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div></div>