<div dir="ltr"><div><div><div><div><div><div><div>Hi Florence.<br><br></div>I've tried to configure the wrong certificate in nss.conf (<i>ipaCert</i>), and with this Apache started.<br></div>So I think the problem is in the <i>Server-Cert</i> stored in <i>/etc/httpd/alias</i>, <span id="gmail-result_box" class="gmail-short_text" lang="en"><span class="gmail-">even if all manul checks are ok.<br><br></span></span></div><span id="gmail-result_box" class="gmail-short_text" lang="en"><span class="gmail-">These are logs with the wrong certificate test:<br><i># tail -f /var/log/httpd/error_log</i><br><i>[Fri Nov 18 09:34:32.583700 2016] [suexec:notice] [pid 7709] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)<br>[Fri Nov 18 09:34:32.584142 2016] [:warn] [pid 7709] NSSSessionCacheTimeout is deprecated. Ignoring.<br>[Fri Nov 18 09:34:32.584178 2016] [:debug] [pid 7709] nss_engine_init.c(454): SNI: <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> -> ipaCert<br>[Fri Nov 18 09:34:32.844487 2016] [:info] [pid 7709] Configuring server for SSL protocol<br>[Fri Nov 18 09:34:32.844635 2016] [:debug] [pid 7709] nss_engine_init.c(770): NSSProtocol:  Enabling TLSv1.0<br>[Fri Nov 18 09:34:32.844657 2016] [:debug] [pid 7709] nss_engine_init.c(775): NSSProtocol:  Enabling TLSv1.1<br>[Fri Nov 18 09:34:32.844668 2016] [:debug] [pid 7709] nss_engine_init.c(780): NSSProtocol:  Enabling TLSv1.2<br>[Fri Nov 18 09:34:32.844677 2016] [:debug] [pid 7709] nss_engine_init.c(839): NSSProtocol:  [TLS 1.0] (minimum)<br>[Fri Nov 18 09:34:32.844684 2016] [:debug] [pid 7709] nss_engine_init.c(866): NSSProtocol:  [TLS 1.2] (maximum)<br>[Fri Nov 18 09:34:32.844738 2016] [:debug] [pid 7709] nss_engine_init.c(906): Disabling TLS Session Tickets<br>[Fri Nov 18 09:34:32.844746 2016] [:debug] [pid 7709] nss_engine_init.c(916): Enabling DHE key exchange<br>[Fri Nov 18 09:34:32.844760 2016] [:debug] [pid 7709] nss_engine_init.c(1077): NSSCipherSuite:  Configuring permitted SSL ciphers [+aes_128_sha_256,+aes_256_sha_256,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha]<br>[Fri Nov 18 09:34:32.844825 2016] [:debug] [pid 7709] nss_engine_init.c(1140): Disable cipher: rsa_null_md5<br>...<br>[Fri Nov 18 09:34:32.845105 2016] [:debug] [pid 7709] nss_engine_init.c(1140): Enable cipher: ecdhe_rsa_aes_128_gcm_sha_256<br>[Fri Nov 18 09:34:32.845110 2016] [:info] [pid 7709] Using nickname ipaCert.<br>[Fri Nov 18 09:34:32.847451 2016] [:error] [pid 7709] Misconfiguration of certificate's CN and virtual name. The certificate CN has IPA RA. We expected <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> as virtual name.<br>[Fri Nov 18 09:34:33.028056 2016] [auth_digest:notice] [pid 7709] AH01757: generating secret for digest authentication ...<br>[Fri Nov 18 09:34:33.030039 2016] [lbmethod_heartbeat:notice] [pid 7709] AH02282: No slotmem from mod_heartmonitor<br>[Fri Nov 18 09:34:33.030122 2016] [:warn] [pid 7709] NSSSessionCacheTimeout is deprecated. Ignoring.<br>[Fri Nov 18 09:34:33.030176 2016] [:debug] [pid 7709] nss_engine_init.c(454): SNI: <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> -> ipaCert<br>[Fri Nov 18 09:34:33.051481 2016] [mpm_prefork:notice] [pid 7709] AH00163: Apache/2.4.6 () mod_auth_gssapi/1.4.0 mod_auth_kerb/5.4 mod_nss/1.0.14 NSS/3.21 Basic ECC mod_wsgi/3.4 Python/2.7.5 configured -- resuming normal operations<br>[Fri Nov 18 09:34:33.051551 2016] [core:notice] [pid 7709] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'<br>[Fri Nov 18 09:34:33.096050 2016] [proxy:debug] [pid 7717] proxy_util.c(1838): AH00924: worker ajp://localhost shared already initialized<br>[Fri Nov 18 09:34:33.096163 2016] [proxy:debug] [pid 7717] proxy_util.c(1880): AH00926: worker ajp://localhost local already initialized<br>...<br>[Fri Nov 18 09:34:33.105626 2016] [proxy:debug] [pid 7719] proxy_util.c(1838): AH00924: worker unix:/run/httpd/ipa-custodia.sock|<a href="http://localhost/keys/">http://localhost/keys/</a> shared already initialized<br>[Fri Nov 18 09:34:33.105632 2016] [proxy:debug] [pid 7719] proxy_util.c(1880): AH00926: worker unix:/run/httpd/ipa-custodia.sock|<a href="http://localhost/keys/">http://localhost/keys/</a> local already initialized<br>[Fri Nov 18 09:34:33.342762 2016] [:info] [pid 7717] Configuring server for SSL protocol<br>[Fri Nov 18 09:34:33.342867 2016] [:debug] [pid 7717] nss_engine_init.c(770): NSSProtocol:  Enabling TLSv1.0<br>[Fri Nov 18 09:34:33.342880 2016] [:debug] [pid 7717] nss_engine_init.c(775): NSSProtocol:  Enabling TLSv1.1<br>[Fri Nov 18 09:34:33.342885 2016] [:debug] [pid 7717] nss_engine_init.c(780): NSSProtocol:  Enabling TLSv1.2<br>[Fri Nov 18 09:34:33.342890 2016] [:debug] [pid 7717] nss_engine_init.c(839): NSSProtocol:  [TLS 1.0] (minimum)<br>[Fri Nov 18 09:34:33.342894 2016] [:debug] [pid 7717] nss_engine_init.c(866): NSSProtocol:  [TLS 1.2] (maximum)<br>[Fri Nov 18 09:34:33.342900 2016] [:debug] [pid 7717] nss_engine_init.c(906): Disabling TLS Session Tickets<br>[Fri Nov 18 09:34:33.342904 2016] [:debug] [pid 7717] nss_engine_init.c(916): Enabling DHE key exchange<br>[Fri Nov 18 09:34:33.342917 2016] [:debug] [pid 7717] nss_engine_init.c(1077): NSSCipherSuite:  Configuring permitted SSL ciphers [+aes_128_sha_256,+aes_256_sha_256,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha]<br>[Fri Nov 18 09:34:33.342970 2016] [:debug] [pid 7717] nss_engine_init.c(1140): Disable cipher: rsa_null_md5<br>...<br>[Fri Nov 18 09:34:33.343233 2016] [:debug] [pid 7717] nss_engine_init.c(1140): Enable cipher: ecdhe_rsa_aes_128_gcm_sha_256<br>[Fri Nov 18 09:34:33.343237 2016] [:info] [pid 7717] Using nickname ipaCert.<br>[Fri Nov 18 09:34:33.344533 2016] [:error] [pid 7717] Misconfiguration of certificate's CN and virtual name. The certificate CN has IPA RA. We expected <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> as virtual name.<br>[Fri Nov 18 09:34:33.364061 2016] [:info] [pid 7718] Configuring server for SSL protocol<br>[Fri Nov 18 09:34:33.364156 2016] [:debug] [pid 7718] nss_engine_init.c(770): NSSProtocol:  Enabling TLSv1.0<br>[Fri Nov 18 09:34:33.364167 2016] [:debug] [pid 7718] nss_engine_init.c(775): NSSProtocol:  Enabling TLSv1.1<br>[Fri Nov 18 09:34:33.364172 2016] [:debug] [pid 7718] nss_engine_init.c(780): NSSProtocol:  Enabling TLSv1.2<br>[Fri Nov 18 09:34:33.364176 2016] [:debug] [pid 7718] nss_engine_init.c(839): NSSProtocol:  [TLS 1.0] (minimum)<br>[Fri Nov 18 09:34:33.364180 2016] [:debug] [pid 7718] nss_engine_init.c(866): NSSProtocol:  [TLS 1.2] (maximum)<br>[Fri Nov 18 09:34:33.364187 2016] [:debug] [pid 7718] nss_engine_init.c(906): Disabling TLS Session Tickets<br>[Fri Nov 18 09:34:33.364191 2016] [:debug] [pid 7718] nss_engine_init.c(916): Enabling DHE key exchange<br>[Fri Nov 18 09:34:33.364202 2016] [:debug] [pid 7718] nss_engine_init.c(1077): NSSCipherSuite:  Configuring permitted SSL ciphers [+aes_128_sha_256,+aes_256_sha_256,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha]<br>[Fri Nov 18 09:34:33.364240 2016] [:debug] [pid 7718] nss_engine_init.c(1140): Disable cipher: rsa_null_md5<br>...<br>[Fri Nov 18 09:34:33.364611 2016] [:debug] [pid 7718] nss_engine_init.c(1140): Enable cipher: ecdhe_rsa_aes_128_gcm_sha_256<br>[Fri Nov 18 09:34:33.364625 2016] [:info] [pid 7718] Using nickname ipaCert.<br>[Fri Nov 18 09:34:33.365549 2016] [:error] [pid 7718] Misconfiguration of certificate's CN and virtual name. The certificate CN has IPA RA. We expected <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> as virtual name.<br>[Fri Nov 18 09:34:33.369972 2016] [:info] [pid 7720] Configuring server for SSL protocol<br>[Fri Nov 18 09:34:33.370200 2016] [:debug] [pid 7720] nss_engine_init.c(770): NSSProtocol:  Enabling TLSv1.0<br>[Fri Nov 18 09:34:33.370224 2016] [:debug] [pid 7720] nss_engine_init.c(775): NSSProtocol:  Enabling TLSv1.1<br>[Fri Nov 18 09:34:33.370239 2016] [:debug] [pid 7720] nss_engine_init.c(780): NSSProtocol:  Enabling TLSv1.2<br>[Fri Nov 18 09:34:33.370255 2016] [:debug] [pid 7720] nss_engine_init.c(839): NSSProtocol:  [TLS 1.0] (minimum)<br>[Fri Nov 18 09:34:33.370269 2016] [:debug] [pid 7720] nss_engine_init.c(866): NSSProtocol:  [TLS 1.2] (maximum)<br>[Fri Nov 18 09:34:33.370286 2016] [:debug] [pid 7720] nss_engine_init.c(906): Disabling TLS Session Tickets<br>[Fri Nov 18 09:34:33.370301 2016] [:debug] [pid 7720] nss_engine_init.c(916): Enabling DHE key exchange<br>[Fri Nov 18 09:34:33.370322 2016] [:debug] [pid 7720] nss_engine_init.c(1077): NSSCipherSuite:  Configuring permitted SSL ciphers [+aes_128_sha_256,+aes_256_sha_256,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha]<br>[Fri Nov 18 09:34:33.370383 2016] [:debug] [pid 7720] nss_engine_init.c(1140): Disable cipher: rsa_null_md5<br>...<br>[Fri Nov 18 09:34:33.371418 2016] [:debug] [pid 7720] nss_engine_init.c(1140): Enable cipher: ecdhe_rsa_aes_128_gcm_sha_256<br>[Fri Nov 18 09:34:33.371437 2016] [:info] [pid 7720] Using nickname ipaCert.<br>[Fri Nov 18 09:34:33.371486 2016] [:info] [pid 7716] Configuring server for SSL protocol<br>[Fri Nov 18 09:34:33.372383 2016] [:debug] [pid 7716] nss_engine_init.c(770): NSSProtocol:  Enabling TLSv1.0<br>[Fri Nov 18 09:34:33.372439 2016] [:debug] [pid 7716] nss_engine_init.c(775): NSSProtocol:  Enabling TLSv1.1<br>[Fri Nov 18 09:34:33.372459 2016] [:debug] [pid 7716] nss_engine_init.c(780): NSSProtocol:  Enabling TLSv1.2<br>[Fri Nov 18 09:34:33.372484 2016] [:debug] [pid 7716] nss_engine_init.c(839): NSSProtocol:  [TLS 1.0] (minimum)<br>[Fri Nov 18 09:34:33.372513 2016] [:debug] [pid 7716] nss_engine_init.c(866): NSSProtocol:  [TLS 1.2] (maximum)<br>[Fri Nov 18 09:34:33.372534 2016] [:debug] [pid 7716] nss_engine_init.c(906): Disabling TLS Session Tickets<br>[Fri Nov 18 09:34:33.372553 2016] [:debug] [pid 7716] nss_engine_init.c(916): Enabling DHE key exchange<br>[Fri Nov 18 09:34:33.372580 2016] [:debug] [pid 7716] nss_engine_init.c(1077): NSSCipherSuite:  Configuring permitted SSL ciphers [+aes_128_sha_256,+aes_256_sha_256,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha]<br>[Fri Nov 18 09:34:33.372627 2016] [:debug] [pid 7716] nss_engine_init.c(1140): Disable cipher: rsa_null_md5<br>...<br>[Fri Nov 18 09:34:33.373712 2016] [:debug] [pid 7716] nss_engine_init.c(1140): Enable cipher: ecdhe_rsa_aes_128_gcm_sha_256<br>[Fri Nov 18 09:34:33.373734 2016] [:info] [pid 7716] Using nickname ipaCert.<br>[Fri Nov 18 09:34:33.374652 2016] [:error] [pid 7716] Misconfiguration of certificate's CN and virtual name. The certificate CN has IPA RA. We expected <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> as virtual name.<br>[Fri Nov 18 09:34:33.372295 2016] [:error] [pid 7720] Misconfiguration of certificate's CN and virtual name. The certificate CN has IPA RA. We expected <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> as virtual name.<br>[Fri Nov 18 09:34:33.412689 2016] [:info] [pid 7719] Configuring server for SSL protocol<br>[Fri Nov 18 09:34:33.412791 2016] [:debug] [pid 7719] nss_engine_init.c(770): NSSProtocol:  Enabling TLSv1.0<br>[Fri Nov 18 09:34:33.412803 2016] [:debug] [pid 7719] nss_engine_init.c(775): NSSProtocol:  Enabling TLSv1.1<br>[Fri Nov 18 09:34:33.412807 2016] [:debug] [pid 7719] nss_engine_init.c(780): NSSProtocol:  Enabling TLSv1.2<br>[Fri Nov 18 09:34:33.412812 2016] [:debug] [pid 7719] nss_engine_init.c(839): NSSProtocol:  [TLS 1.0] (minimum)<br>[Fri Nov 18 09:34:33.412817 2016] [:debug] [pid 7719] nss_engine_init.c(866): NSSProtocol:  [TLS 1.2] (maximum)<br>[Fri Nov 18 09:34:33.412824 2016] [:debug] [pid 7719] nss_engine_init.c(906): Disabling TLS Session Tickets<br>[Fri Nov 18 09:34:33.412828 2016] [:debug] [pid 7719] nss_engine_init.c(916): Enabling DHE key exchange<br>[Fri Nov 18 09:34:33.412840 2016] [:debug] [pid 7719] nss_engine_init.c(1077): NSSCipherSuite:  Configuring permitted SSL ciphers [+aes_128_sha_256,+aes_256_sha_256,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha]<br>[Fri Nov 18 09:34:33.412891 2016] [:debug] [pid 7719] nss_engine_init.c(1140): Disable cipher: rsa_null_md5<br>...<br>[Fri Nov 18 09:34:33.413159 2016] [:debug] [pid 7719] nss_engine_init.c(1140): Enable cipher: ecdhe_rsa_aes_128_gcm_sha_256<br>[Fri Nov 18 09:34:33.413164 2016] [:info] [pid 7719] Using nickname ipaCert.<br>[Fri Nov 18 09:34:33.414462 2016] [:error] [pid 7719] Misconfiguration of certificate's CN and virtual name. The certificate CN has IPA RA. We expected <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a> as virtual name.<br>[Fri Nov 18 09:34:35.558286 2016] [:error] [pid 7715] ipa: WARNING: session memcached servers not running<br>[Fri Nov 18 09:34:35.559653 2016] [:error] [pid 7714] ipa: WARNING: session memcached servers not running<br>[Fri Nov 18 09:34:37.511457 2016] [:error] [pid 7714] ipa: INFO: *** PROCESS START ***<br>[Fri Nov 18 09:34:37.517899 2016] [:error] [pid 7715] ipa: INFO: *** PROCESS START ***<br>[Fri Nov 18 09:34:51.498536 2016] [:info] [pid 7717] Connection to child 1 established (server <a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a>, client 192.168.0.239)<br>[Fri Nov 18 09:34:51.510292 2016] [:info] [pid 7717] SSL input filter read failed.<br>[Fri Nov 18 09:34:51.510311 2016] [:error] [pid 7717] SSL Library Error: -12285 Unable to find the certificate or key necessary for authentication<br>[Fri Nov 18 09:34:51.510356 2016] [:info] [pid 7717] Connection to child 1 closed (server <a href="http://mlv-ipa01.ipa.mydomain.com:443">mlv-ipa01.ipa.mydomain.com:443</a>, client 192.168.0.239)<br>[Fri Nov 18 09:35:18.790760 2016] [mpm_prefork:notice] [pid 7709] AH00170: caught SIGWINCH, shutting down gracefully</i><br><br></span></span></div><span id="gmail-result_box" class="gmail-short_text" lang="en"><span class="gmail-">Is possible to delete <i>Server-Cert</i> from </span></span><i>/etc/httpd/alias</i> and reimport it from the original certificates of <i><a href="http://mlv-ipa01.ipa.mydomain.com">mlv-ipa01.ipa.mydomain.com</a></i>?<br></div>Where are stored the original certificates?<br><br></div>Please let me know, thanks.<br></div>Bye, Morgan<span id="gmail-result_box" class="gmail-short_text" lang="en"><span class="gmail-"></span></span><br><div><div><div><span id="gmail-result_box" class="gmail-short_text" lang="en"><span class="gmail-"></span></span><div><div><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">2016-11-17 17:09 GMT+01:00 Florence Blanc-Renaud <span dir="ltr"><<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 11/17/2016 04:51 PM, Morgan Marodin wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
Hi Rob.<br>
<br>
I've just tried to remove the group write to the *.db files, but it's<br>
not the problem.<br></span>
/[root@mlv-ipa01 ~]# grep NSSNickname /etc/httpd/conf.d/nss.conf<br>
NSSNickname Server-Cert/<br>
<br>
I've tried to run manually /dirsrv.target/ and /krb5kdc.service/, and it<br>
works, services went up.<span class="gmail-"><br>
The same for /ntpd/, /named-pkcs11.service/, /smb.service/,<br>
/winbind.service/, /kadmin.service/, /memcached.service/ and<br>
/pki-tomcatd.target/.<br>
<br></span>
But if I try to start /httpd.service/:<br>
/[root@mlv-ipa01 ~]# tail -f /var/log/messages<span class="gmail-"><br>
Nov 17 16:46:06 mlv-ipa01 systemd[1]: Starting The Apache HTTP Server...<br>
Nov 17 16:46:06 mlv-ipa01 ipa-httpd-kdcproxy: ipa         : INFO     KDC<br>
proxy enabled<br>
Nov 17 16:46:07 mlv-ipa01 systemd[1]: httpd.service: main process<br>
exited, code=exited, status=1/FAILURE<br>
Nov 17 16:46:07 mlv-ipa01 kill: kill: cannot find process ""<br>
Nov 17 16:46:07 mlv-ipa01 systemd[1]: httpd.service: control process<br>
exited, code=exited status=1<br>
Nov 17 16:46:07 mlv-ipa01 systemd[1]: Failed to start The Apache HTTP<br>
Server.<br>
Nov 17 16:46:07 mlv-ipa01 systemd[1]: Unit httpd.service entered failed<br>
state.<br></span>
Nov 17 16:46:07 mlv-ipa01 systemd[1]: httpd.service failed./<br>
<br>
Any other ideas?<br>
</blockquote>
Hi,<br>
<br>
- Does the NSS Db contain the private key for Server-Cert? If yes, the command<br>
$ certutil -K -d /etc/httpd/alias/ -f /etc/httpd/alias/pwdfile.txt<br>
should display a line like this one:<br>
< 0> rsa      01a6cbd773f3d785ffa44233148dcb<wbr>8ade266ea5   NSS Certificate DB:Server-Cert<br>
<br>
- Is your system running with SElinux enforcing? If yes, you can check if there were SElinux permission denials using<br>
$ ausearch -m avc --start recent<br>
<br>
- If the certificate was expired, I believe you would see a different message, but it doesn't hurt to check its validity<br>
$ certutil -L -d /etc/httpd/alias/ -n Server-Cert | egrep "Not Before|Not After"<br>
<br>
<br>
Flo.<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
<br>
Please let me know, thanks.<br>
Morgan<br>
<br>
2016-11-17 16:11 GMT+01:00 Rob Crittenden <<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a><br></span>
<mailto:<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>>>:<div><div class="gmail-h5"><br>
<br>
    Morgan Marodin wrote:<br>
    > Hi Florence.<br>
    ><br>
    > Thanks for your support.<br>
    ><br>
    > Yes, httpd is using /etc/httpd/alias as NSS DB. And seems that all<br>
    > permissions and certificates are good:<br>
    > /[root@mlv-ipa01 ~]# ls -l /etc/httpd/alias/<br>
    > total 184<br>
    > -r--r--r--  1 root root    1345 Sep  7  2015 cacert.asc<br>
    > -rw-rw----  1 root apache 65536 Nov 17 11:06 cert8.db<br>
    > -rw-r-----. 1 root apache 65536 Sep  4  2015 cert8.db.orig<br>
    > -rw-------. 1 root root    4833 Sep  4  2015 install.log<br>
    > -rw-rw----  1 root apache 16384 Nov 17 11:06 key3.db<br>
    > -rw-r-----. 1 root apache 16384 Sep  4  2015 key3.db.orig<br>
    > lrwxrwxrwx  1 root root      24 Nov 17 10:24 libnssckbi.so -><br>
    > /usr/lib64/libnssckbi.so<br>
    > -rw-rw----  1 root apache    20 Sep  7  2015 pwdfile.txt<br>
    > -rw-rw----  1 root apache 16384 Sep  7  2015 secmod.db<br>
    > -rw-r-----. 1 root apache 16384 Sep  4  2015 secmod.db.orig/<br>
<br>
    Eventually you'll want to remove group write on the *.db files.<br>
<br>
    > And password validations seems ok, too:<br>
    > /[root@mlv-ipa01 ~]# certutil -K -d /etc/httpd/alias/ -f<br>
    > /etc/httpd/alias/pwdfile.txt<br>
    good<br>
<br>
    > Enabling mod-nss debug I can see these logs:<br>
    > /[root@mlv-ipa01 ~]# tail -f /var/log/httpd/error_log<br>
    > [Thu Nov 17 15:05:10.807603 2016] [suexec:notice] [pid 10660] AH01232:<br>
    > suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)<br>
    > [Thu Nov 17 15:05:10.807958 2016] [:warn] [pid 10660]<br>
    > NSSSessionCacheTimeout is deprecated. Ignoring.<br>
    > [Thu Nov 17 15:05:10.807991 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(454): SNI: <a href="http://mlv-ipa01.ipa.mydomain.com" rel="noreferrer" target="_blank">mlv-ipa01.ipa.mydomain.com</a> <<a href="http://mlv-ipa01.ipa.mydomain.com" rel="noreferrer" target="_blank">http://mlv-ipa01.ipa.mydomain<wbr>.com</a>><br></div></div>
    > <<a href="http://mlv-ipa01.ipa.mydomain.com" rel="noreferrer" target="_blank">http://mlv-ipa01.ipa.mydomain<wbr>.com</a><div><div class="gmail-h5"><br>
    <<a href="http://mlv-ipa01.ipa.mydomain.com" rel="noreferrer" target="_blank">http://mlv-ipa01.ipa.mydomain<wbr>.com</a>>> -> Server-Cert<br>
    > [Thu Nov 17 15:05:11.002664 2016] [:info] [pid 10660] Configuring server<br>
    > for SSL protocol<br>
    > [Thu Nov 17 15:05:11.002817 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(770): NSSProtocol:  Enabling TLSv1.0<br>
    > [Thu Nov 17 15:05:11.002838 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(775): NSSProtocol:  Enabling TLSv1.1<br>
    > [Thu Nov 17 15:05:11.002847 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(780): NSSProtocol:  Enabling TLSv1.2<br>
    > [Thu Nov 17 15:05:11.002856 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(839): NSSProtocol:  [TLS 1.0] (minimum)<br>
    > [Thu Nov 17 15:05:11.002876 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(866): NSSProtocol:  [TLS 1.2] (maximum)<br>
    > [Thu Nov 17 15:05:11.003099 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(906): Disabling TLS Session Tickets<br>
    > [Thu Nov 17 15:05:11.003198 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(916): Enabling DHE key exchange<br>
    > [Thu Nov 17 15:05:11.003313 2016] [:debug] [pid 10660]<br>
    > nss_engine_init.c(1077): NSSCipherSuite:  Configuring permitted SSL<br>
    > ciphers<br>
    > [+aes_128_sha_256,+aes_256_sha<wbr>_256,+ecdhe_ecdsa_aes_128_gcm_<wbr>sha_256,+ecdhe_ecdsa_aes_128_<wbr>sha,+ecdhe_ecdsa_aes_256_gcm_<wbr>sha_384,+ecdhe_ecdsa_aes_256_<wbr>sha,+ecdhe_rsa_aes_128_gcm_<wbr>sha_256,+ecdhe_rsa_aes_128_<wbr>sha,+ecdhe_rsa_aes_256_gcm_<wbr>sha_384,+ecdhe_rsa_aes_256_<wbr>sha,+rsa_aes_128_gcm_sha_256,+<wbr>rsa_aes_128_sha,+rsa_aes_256_<wbr>gcm_sha_384,+rsa_aes_256_sha]<br>
    > [Thu Nov 17 15:05:11.003469 2016] [:debug] [pid 10660]<br>
    > [Thu Nov 17 15:05:11.006759 2016] [:info] [pid 10660] Using nickname<br>
    > Server-Cert.<br>
    [snip]<br>
    > [Thu Nov 17 15:05:11.006771 2016] [:error] [pid 10660] Certificate not<br>
    > found: 'Server-Cert'<br>
<br>
    Can you shows what this returns:<br>
<br>
    # grep NSSNickname /etc/httpd/conf.d/nss.conf<br>
<br>
    > Do you think there is a kerberos problem?<br>
<br>
    It definitely is not.<br>
<br>
    You can bring the system up in a minimal way by manually starting the<br></div></div>
    <a href="mailto:dirsrv@EXAMPLE.COM" target="_blank">dirsrv@EXAMPLE.COM</a> <mailto:<a href="mailto:dirsrv@EXAMPLE.COM" target="_blank">dirsrv@EXAMPLE.COM</a>> service and then<span class="gmail-"><br>
    krb5kdc. This will at least let your<br>
    users authenticate. The management framework (GUI) runs through Apache<br>
    so that will be down until we can get Apache started again.<br>
<br>
    rob<br>
<br>
    ><br>
    > Please let me know, thanks.<br>
    > Bye, Morgan<br>
    ><br>
    > 2016-11-17 14:39 GMT+01:00 Florence Blanc-Renaud <<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a> <mailto:<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>><br></span>
    > <mailto:<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a> <mailto:<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>>>>:<div><div class="gmail-h5"><br>
    ><br>
    >     On 11/17/2016 12:09 PM, Morgan Marodin wrote:<br>
    ><br>
    >         Hello.<br>
    ><br>
    >         This morning I've tried to upgrade my IPA server, but the<br>
    upgrade<br>
    >         failed, and now the service doesn't start! :(<br>
    ><br>
    >         If I try lo launch the upgrade manually this is the output:<br>
    >         /[root@mlv-ipa01 download]# ipa-server-upgrade<br>
    ><br>
    >         Upgrading IPA:<br>
    >           [1/8]: saving configuration<br>
    >           [2/8]: disabling listeners<br>
    >           [3/8]: enabling DS global lock<br>
    >           [4/8]: starting directory server<br>
    >           [5/8]: updating schema<br>
    >           [6/8]: upgrading server<br>
    >           [7/8]: stopping directory server<br>
    >           [8/8]: restoring configuration<br>
    >         Done.<br>
    >         Update complete<br>
    >         Upgrading IPA services<br>
    >         Upgrading the configuration of the IPA services<br>
    >         [Verifying that root certificate is published]<br>
    >         [Migrate CRL publish directory]<br>
    >         CRL tree already moved<br>
    >         [Verifying that CA proxy configuration is correct]<br>
    >         [Verifying that KDC configuration is using ipa-kdb backend]<br>
    >         [Fix DS schema file syntax]<br>
    >         Syntax already fixed<br>
    >         [Removing RA cert from DS NSS database]<br>
    >         RA cert already removed<br>
    >         [Enable sidgen and extdom plugins by default]<br>
    >         [Updating HTTPD service IPA configuration]<br>
    >         [Updating mod_nss protocol versions]<br>
    >         Protocol versions already updated<br>
    >         [Updating mod_nss cipher suite]<br>
    >         [Fixing trust flags in /etc/httpd/alias]<br>
    >         Trust flags already processed<br>
    >         [Exporting KRA agent PEM file]<br>
    >         KRA is not enabled<br>
    >         IPA server upgrade failed: Inspect /var/log/ipaupgrade.log<br>
    and run<br>
    >         command ipa-server-upgrade manually.<br>
    >         Unexpected error - see /var/log/ipaupgrade.log for details:<br>
    >         CalledProcessError: Command '/bin/systemctl start<br>
    httpd.service'<br>
    >         returned non-zero exit status 1<br>
    >         The ipa-server-upgrade command failed. See<br>
    >         /var/log/ipaupgrade.log for<br>
    >         more information/<br>
    ><br>
    >         These are error logs of Apache:<br>
    >         /[Thu Nov 17 11:48:45.498510 2016] [suexec:notice] [pid 5664]<br>
    >         AH01232:<br>
    >         suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)<br>
    >         [Thu Nov 17 11:48:45.499220 2016] [:warn] [pid 5664]<br>
    >         NSSSessionCacheTimeout is deprecated. Ignoring.<br>
    >         [Thu Nov 17 11:48:45.830910 2016] [:error] [pid 5664]<br>
    >         Certificate not<br>
    >         found: 'Server-Cert'/<br>
    ><br>
    >         The problem seems to be the /Server-Cert /that could not<br>
    be found.<br>
    >         But if I try to execute the certutil command manually I<br>
    can see it:/<br>
    >         [root@mlv-ipa01 log]# certutil -L -d /etc/httpd/alias/<br>
    >         Certificate Nickname<br>
       Trust<br>
    >         Attributes<br>
    ><br>
    >         SSL,S/MIME,JAR/XPI<br>
    >         Signing-Cert<br>
       u,u,u<br>
    >         ipaCert<br>
      u,u,u<br>
    >         Server-Cert<br>
      Pu,u,u<br>
    >         <a href="http://IPA.MYDOMAIN.COM" rel="noreferrer" target="_blank">IPA.MYDOMAIN.COM</a> <<a href="http://IPA.MYDOMAIN.COM" rel="noreferrer" target="_blank">http://IPA.MYDOMAIN.COM</a>><br>
    <<a href="http://IPA.MYDOMAIN.COM" rel="noreferrer" target="_blank">http://IPA.MYDOMAIN.COM</a>><br>
    >         <<a href="http://IPA.MYDOMAIN.COM" rel="noreferrer" target="_blank">http://IPA.MYDOMAIN.COM</a>> IPA<br>
    >         CA                                    CT,C,C/<br>
    ><br>
    >         Could you help me?<br>
    >         What could I try to do to restart my service?<br>
    ><br>
    >     Hi,<br>
    ><br>
    >     I would first make sure that httpd is using /etc/httpd/alias<br>
    as NSS<br>
    >     DB (check the directive NSSCertificateDatabase in<br>
    >     /etc/httpd/conf.d/nss.conf).<br>
    >     Then it may be a file permission issue: the NSS DB should<br>
    belong to<br>
    >     root:apache (the relevant files are cert8.db, key3.db and<br>
    secmod.db).<br>
    >     You should also find a pwdfile.txt in the same directory,<br>
    containing<br>
    >     the NSS DB password. Check that the password is valid using<br>
    >     certutil -K -d /etc/httpd/alias/ -f /etc/httpd/alias/pwdfile.txt<br>
    >     (if the command succeeds then the password in pwdfile is OK).<br>
    ><br>
    >     You can also enable mod-nss debug in /etc/httpd/conf/nss.conf by<br>
    >     setting "LogLevel debug", and check the output in<br>
    >     /var/log/httpd/error_log.<br>
    ><br>
    >     HTH,<br>
    >     Flo.<br>
    ><br>
    >         Thanks, Morgan<br>
    ><br>
    ><br>
    ><br>
    >     --<br>
    >     Manage your subscription for the Freeipa-users mailing list:<br>
    >     <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailma<wbr>n/listinfo/freeipa-users</a><br>
    <<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailma<wbr>n/listinfo/freeipa-users</a>><br>
    >     <<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailm<wbr>an/listinfo/freeipa-users</a><br>
    <<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailma<wbr>n/listinfo/freeipa-users</a>>><br>
    >     Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
    ><br>
    ><br>
<br>
</div></div></blockquote></blockquote></div></div></div></div></div></div></div></div></div></div></div>