<div dir="ltr"><div>Thank you for the response Flo.  So I do see Apache running and listening on port 443.  However, running that command I get a 503<br><br>*   Trying 172.31.0.254...<br>* Connected to ip-172-31-0-254.us-west-2.compute.internal (172.31.0.254) port 443 (#0)<br>* Initializing NSS with certpath: sql:/etc/httpd/alias<br>*   CAfile: /etc/pki/tls/certs/ca-bundle.crt<br>  CApath: none<br>* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384<br>* Server certificate:<br>*       subject: CN=ip-172-31-0-254.us-west-2.compute.internal,O=IPA.US-WEST-2.COMPUTE.INTERNAL<br>*       start date: Dec 13 14:33:16 2016 GMT<br>*       expire date: Dec 14 14:33:16 2018 GMT<br>*       common name: ip-172-31-0-254.us-west-2.compute.internal<br>*       issuer: CN=Certificate Authority,O=IPA.US-WEST-2.COMPUTE.INTERNAL<br>> GET /ca/agent/ca/displayBySerial?serialNumber=1 HTTP/1.1<br>> User-Agent: curl/7.29.0<br>> Host: ip-172-31-0-254.us-west-2.compute.internal<br>> Accept: */*<br>><br>* NSS: using client certificate: ipaCert<br>*       subject: CN=IPA RA,O=IPA.US-WEST-2.COMPUTE.INTERNAL<br>*       start date: Dec 13 14:32:28 2016 GMT<br>*       expire date: Dec 03 14:32:28 2018 GMT<br>*       common name: IPA RA<br>*       issuer: CN=Certificate Authority,O=IPA.US-WEST-2.COMPUTE.INTERNAL<br>< HTTP/1.1 503 Service Unavailable<br>< Date: Tue, 13 Dec 2016 14:44:00 GMT<br>< Server: Apache<br>< Content-Length: 299<br>< Connection: close<br>< Content-Type: text/html; charset=iso-8859-1<br><br>[root@ip-172-31-0-254 ~]# cat out.html<br><!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><br><html><head><br><title>503 Service Unavailable</title><br></head><body><br><h1>Service Unavailable</h1><br><p>The server is temporarily unable to service your<br>request due to maintenance downtime or capacity<br>problems. Please try again later.</p><br></body></html><br>[root@ip-172-31-0-254 ~]#<br><br><br></div><div>What would cause the service to be unavailable?  Maybe the installer changed and I need to provide another option now that I didn't have to before the version upgrade?<br></div><div><br></div><div>Thanks,<br></div><div>Jay<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 13, 2016 at 1:56 AM, Florence Blanc-Renaud <span dir="ltr"><<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 12/12/2016 10:32 PM, jay wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Hello,<br>
<br>
I have been testing freeipa on CentOS 7 for a while now with a<br>
relatively simple setup, just a single server and 12 or so Linux clients<br>
in AWS.  I went to rebuild the environment today and part of my Ansible<br>
playbook failed with this error<br>
<br>
ipa: ERROR: Certificate operation cannot be completed: Unable to<br>
communicate with CMS (503)<br>
<br>
This is the command that failed<br>
<br>
/usr/bin/ipa cert-show 1 --out=/root/cacert.crt<br>
<br>
I noticed the version I was using on Friday was<br>
ipa-server-4.2.0-15.0.1.el7.ce<wbr>ntos.19.x86_64.  But now I'm getting<br>
ipa-server-4.4.0-14.el7.centos<wbr>.x86_64 installed, so the repo was updated<br>
over the weekend.<br>
<br>
Is there a known issue running cert-show with this version?  I can't<br>
find anything in the debug logs that point to something wrong.  Running<br>
'ipa cert-find' and 'getcert list -d /etc/httpd/alias -n ipaCert' work<br>
just fine.<br>
<br>
Can someone offer some advice or pointer to what might be going on?  I'm<br>
invoking the install with these options and it has worked flawlessly<br>
before this new version<br>
<br>
2016-12-12T21:05:21Z DEBUG ipa-server-install was invoked with arguments<br>
[] and options: {'no_dns_<br>
sshfp': None, 'ignore_topology_disconnect': None, 'verbose': False,<br>
'ip_addresses': [CheckedIPAddr<br>
ess('172.31.0.235')], 'domainlevel': None, 'mkhomedir': None,<br>
'http_cert_files': None, 'no_ntp': N<br>
one, 'reverse_zones': None, 'no_forwarders': None, 'external_ca_type':<br>
None, 'ssh_trust_dns': True<br>
, 'domain_name': 'ipa.us-west-2.compute.interna<wbr>l', 'idmax': None,<br>
'http_cert_name': None, 'dirsrv_<br>
cert_files': None, 'no_dnssec_validation': None, 'ca_signing_algorithm':<br>
None, 'no_reverse': None,<br>
 'subject': None, 'unattended': True, 'auto_reverse': None,<br>
'auto_forwarders': None, 'no_host_dns'<br>
: None, 'no_sshd': None, 'no_ui_redirect': None, 'ignore_last_of_role':<br>
None, 'realm_name': 'IPA.U<br>
S-WEST-2.COMPUTE.INTERNAL', 'forwarders':<br>
[CheckedIPAddress('172.31.0.2'<wbr>)], 'idstart': 5000, 'exte<br>
rnal_ca': None, 'no_ssh': None, 'external_cert_files': None,<br>
'no_hbac_allow': None, 'forward_polic<br>
y': None, 'dirsrv_cert_name': None, 'ca_cert_files': None, 'zonemgr':<br>
None, 'quiet': False, 'setup<br>
_dns': True, 'host_name': '<a href="http://ip-172-31-0-235.us-west-2.com" target="_blank">ip-172-31-0-235.us-west-2.com</a><wbr>pute.internal',<br>
'dirsrv_config_file': None<br>
, 'log_file': None, 'allow_zone_overlap': None, 'uninstall': False}<br>
2016-12-12T21:05:21Z DEBUG IPA version 4.4.0-14.el7.centos<br>
<br>
Thank you<br>
Jay<br>
<br>
<br>
</blockquote>
<br>
Hi,<br>
<br>
the ipa cert-show command is communicating with Dogtag, using port 443. Can you check if Dogtag is properly responding on this port?<br>
<br>
$ SSL_DIR=/etc/httpd/alias/ curl -v -E ipaCert:`cat /etc/httpd/alias/pwdfile.txt` <a href="https://hostname.domainname:443/ca/agent/ca/displayBySerial?serialNumber=1" rel="noreferrer" target="_blank">https://hostname.domainname:44<wbr>3/ca/agent/ca/displayBySerial?<wbr>serialNumber=1</a> -o out.html<br>
<br>
The issue can be that Dogtag is down, or a SSL issue (the certificate ipaCert in /etc/httpd/alias is used to authenticate the client to Dogtag).<br>
<br>
HTH,<br>
Flo.<br>
</blockquote></div><br></div></div>