<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">2016-12-01 15:41 GMT+01:00 Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Rob Verduijn wrote:<br>
> Hello,<br>
><br>
> For some reason my ipa server no longer boots.<br>
> It keeps trying to start pki-tomcat service.<br>
><br>
> Does anybody know where I should start looking to get this fixed ?<br>
><br>
> Rob Verduijn<br>
><br>
> ipactl -d start gives this output:<br>
> ipa: DEBUG: The CA status is: check interrupted due to error: Command<br>
> ''/usr/bin/wget' '-S' '-O' '-' '--timeout=30' '--no-check-certificate'<br>
> '<a href="https://freeipa02.tjako.thuis:8443/ca/admin/ca/getStatus" rel="noreferrer" target="_blank">https://freeipa02.tjako.<wbr>thuis:8443/ca/admin/ca/<wbr>getStatus</a>'' returned<br>
> non-zero exit status 8<br>
> ipa: DEBUG: Waiting for CA to start...<br>
> ipa: DEBUG: Starting external process<br>
> ipa: DEBUG: args='/usr/bin/wget' '-S' '-O' '-' '--timeout=30'<br>
> '--no-check-certificate'<br>
> '<a href="https://freeipa02.tjako.thuis:8443/ca/admin/ca/getStatus" rel="noreferrer" target="_blank">https://freeipa02.tjako.<wbr>thuis:8443/ca/admin/ca/<wbr>getStatus</a>'<br>
> ipa: DEBUG: Process finished, return code=8<br>
> ipa: DEBUG: stdout=<br>
> ipa: DEBUG: stderr=--2016-12-01 11:06:12--<br>
> <a href="https://freeipa02.tjako.thuis:8443/ca/admin/ca/getStatus" rel="noreferrer" target="_blank">https://freeipa02.tjako.thuis:<wbr>8443/ca/admin/ca/getStatus</a><br>
> Resolving freeipa02.tjako.thuis (freeipa02.tjako.thuis)... 172.16.1.13<br>
> Connecting to freeipa02.tjako.thuis<br>
> (freeipa02.tjako.thuis)|172.<wbr>16.1.13|:8443... connected.<br>
> HTTP request sent, awaiting response...<br>
>   HTTP/1.1 500 Internal Server Error<br>
>   Server: Apache-Coyote/1.1<br>
>   Content-Type: text/html;charset=utf-8<br>
>   Content-Language: en<br>
>   Content-Length: 2134<br>
>   Date: Thu, 01 Dec 2016 10:06:13 GMT<br>
>   Connection: close<br>
> 2016-12-01 11:06:13 ERROR 500: Internal Server Error.<br>
><br>
> There are also some java warnings in the logs, but its java and I can<br>
> never tell if its a serious error when java gives a warning.<br>
> Dec  1 09:53:59 freeipa02 server: Dec 01, 2016 9:53:59 AM<br>
> org.apache.catalina.startup.<wbr>SetAllPropertiesRule begin<br>
> Dec  1 09:53:59 freeipa02 server: WARNING:<br>
> [SetAllPropertiesRule]{Server/<wbr>Service/Connector} Setting property<br>
> 'serverCertNickFile' to<br>
> '/var/lib/pki/pki-tomcat/conf/<wbr>serverCertNick.conf' did not find a<br>
> matching property.<br>
> Dec  1 09:53:59 freeipa02 server: Dec 01, 2016 9:53:59 AM<br>
> org.apache.catalina.startup.<wbr>SetAllPropertiesRule begin<br>
> Dec  1 09:53:59 freeipa02 server: WARNING:<br>
> [SetAllPropertiesRule]{Server/<wbr>Service/Connector} Setting property<br>
> 'passwordFile' to '/var/lib/pki/pki-tomcat/conf/<wbr>password.conf' did not<br>
> find a matching property.<br>
> Dec  1 09:53:59 freeipa02 server: Dec 01, 2016 9:53:59 AM<br>
> org.apache.catalina.startup.<wbr>SetAllPropertiesRule begin<br>
> Dec  1 09:53:59 freeipa02 server: WARNING:<br>
> [SetAllPropertiesRule]{Server/<wbr>Service/Connector} Setting property<br>
> 'passwordClass' to '<a href="http://org.apache.tomcat.util.net">org.apache.tomcat.util.net</a>.<wbr>jss.PlainPasswordFile'<br>
> did not find a matching property.<br>
> Dec  1 09:53:59 freeipa02 server: Dec 01, 2016 9:53:59 AM<br>
> org.apache.catalina.startup.<wbr>SetAllPropertiesRule begin<br>
> Dec  1 09:53:59 freeipa02 server: WARNING:<br>
> [SetAllPropertiesRule]{Server/<wbr>Service/Connector} Setting property<br>
> 'certdbDir' to '/var/lib/pki/pki-tomcat/<wbr>alias' did not find a matching<br>
> property.<br>
> Dec  1 09:53:59 freeipa02 server: Dec 01, 2016 9:53:59 AM<br>
> org.apache.tomcat.util.<wbr>digester.SetPropertiesRule begin<br>
> Dec  1 09:53:59 freeipa02 server: WARNING:<br>
> [SetPropertiesRule]{Server/<wbr>Service/Engine/Host} Setting property<br>
> 'xmlValidation' to 'false' did not find a matching property.<br>
> Dec  1 09:53:59 freeipa02 server: Dec 01, 2016 9:53:59 AM<br>
> org.apache.tomcat.util.<wbr>digester.SetPropertiesRule begin<br>
> Dec  1 09:53:59 freeipa02 server: WARNING:<br>
> [SetPropertiesRule]{Server/<wbr>Service/Engine/Host} Setting property<br>
> 'xmlNamespaceAware' to 'false' did not find a matching property.<br>
><br>
><br>
> I'm running centos7.2 x86_64 with the latest patches applied.<br>
> some package versions below<br>
> rpm -qa|egrep "ipa|tomcat"|sort<br>
> ipa-admintools-4.2.0-15.0.1.<wbr>el7.centos.19.x86_64<br>
> ipa-client-4.2.0-15.0.1.el7.<wbr>centos.19.x86_64<br>
> ipa-python-4.2.0-15.0.1.el7.<wbr>centos.19.x86_64<br>
> ipa-server-4.2.0-15.0.1.el7.<wbr>centos.19.x86_64<br>
> ipa-server-dns-4.2.0-15.0.1.<wbr>el7.centos.19.x86_64<br>
> libipa_hbac-1.13.0-40.el7_2.<wbr>12.x86_64<br>
> python-iniparse-0.4-9.el7.<wbr>noarch<br>
> python-libipa_hbac-1.13.0-40.<wbr>el7_2.12.x86_64<br>
> sssd-ipa-1.13.0-40.el7_2.12.<wbr>x86_64<br>
> tomcat-7.0.54-8.el7_2.noarch<br>
> tomcat-el-2.2-api-7.0.54-8.<wbr>el7_2.noarch<br>
> tomcat-jsp-2.2-api-7.0.54-8.<wbr>el7_2.noarch<br>
> tomcatjss-7.1.2-1.el7.noarch<br>
> tomcat-lib-7.0.54-8.el7_2.<wbr>noarch<br>
> tomcat-servlet-3.0-api-7.0.54-<wbr>8.el7_2.noarch<br>
<br>
The debug log is quite verbose. I find it helpful to note where the<br>
previous log ended, starting and pulling the difference and going line<br>
by line. It sometimes fails in one place which cascades to others this<br>
generally makes it hard to grok.<br>
<br>
I'd also run `getcert list` and check to ensure that the CA subsystem<br>
certificates are still valid.<br>
<span class="gmail-HOEnZb"><font color="#888888"><br>
rob<br>
</font></span></blockquote><div><br><br></div><div>Hi,<br><br></div><div>My certs where indeed expired.<br></div><div>I did what was said in here <a href="http://www.freeipa.org/page/Howto/CA_Certificate_Renewal">http://www.freeipa.org/page/Howto/CA_Certificate_Renewal</a><br></div><div>And now they are all valid again.<br></div><div><br></div><div>However it is still stuck at the same spot.<br></div><div>It keeps waiting for the ca to start and gets an internal error.<br><br></div><div>In the pki-cataline logs this keeps repeating :<br>Dec 01, 2016 4:22:44 PM org.apache.catalina.core.ContainerBase backgroundProcess<br>WARNING: Exception processing realm com.netscape.cms.tomcat.ProxyRealm@6934e456 background process<br>java.lang.NullPointerException<br>        at com.netscape.cms.tomcat.ProxyRealm.backgroundProcess(ProxyRealm.java:108)<br>        at org.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1360)<br>        at org.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1530)<br>        at org.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1540)<br>        at org.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1540)<br>        at org.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1519)<br>        at java.lang.Thread.run(Thread.java:745)<br><br></div><div>I keep digging through the logs, but they are rather overwhelming.<br></div><div><br>Have you got any pointers for me ?<br><br></div><div>Rob Verduijn<br></div><div><br> </div></div><br></div></div>