<div dir="ltr">Florence, at first i thought the problem was fixed, but it wasn't complety.<div><br></div><div>So now, i'm at the CA Master, and when i try to see some certificates it prompts me this "[root@ipa2 ~]# ipa cert-show 1</div><div>ipa: ERROR: Certificate operation cannot be completed: EXCEPTION (Invalid Credential.)</div><div>"</div><div>The same thing show over the Web Interface, i searched a little bit and found that probably it didn't updated the <b>ipara</b> user, but can't confirm that, any sugestions?</div><div><br></div><div>Thanks,<br><br><div class="gmail_quote"><div dir="ltr">Em qui, 22 de dez de 2016 às 11:13, Florence Blanc-Renaud <<a href="mailto:flo@redhat.com">flo@redhat.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 12/22/2016 01:15 PM, Lucas Diedrich wrote:<br class="gmail_msg">
> Florence, for some creepy reason the cert from pkidbuser is different<br class="gmail_msg">
> from subsystem certs, and this pkidbuser is outdated now, but i can't<br class="gmail_msg">
> manage one way to re-issue it. I had to change the CA server because of<br class="gmail_msg">
> that, and the Selinux in the old CA Server was disabled, on the new one<br class="gmail_msg">
> is in Permissive mode but doesn't a warning in /var/log/audit/audit.log.<br class="gmail_msg">
><br class="gmail_msg">
> This is the pkidbuser cert: <a href="https://paste.fedoraproject.org/511023/24084431/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/511023/24084431/</a><br class="gmail_msg">
> This is the subsystem cert: <a href="https://paste.fedoraproject.org/511025/14824085/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/511025/14824085/</a><br class="gmail_msg">
> The ca.subsystem.cert matches the pkidbuser cert.<br class="gmail_msg">
><br class="gmail_msg">
> lucasdiedrich.<br class="gmail_msg">
><br class="gmail_msg">
Hi,<br class="gmail_msg">
<br class="gmail_msg">
you can try to manually call the post-save command that certmonger<br class="gmail_msg">
should have issued after putting the certificate in<br class="gmail_msg">
/etc/pki/pki-tomcat/alias:<br class="gmail_msg">
on the renewal master:<br class="gmail_msg">
$ sudo /usr/libexec/ipa/certmonger/stop_pkicad<br class="gmail_msg">
$ sudo /usr/libexec/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"<br class="gmail_msg">
<br class="gmail_msg">
Then check the journal log that should display the following if<br class="gmail_msg">
everything goes well:<br class="gmail_msg">
$ sudo journalctl --since today | grep renew_ca_cert<br class="gmail_msg">
[...] renew_ca_cert[6478]: Updating entry<br class="gmail_msg">
uid=CA-ipaserver.domain.com-8443,ou=people,o=ipaca<br class="gmail_msg">
[...] renew_ca_cert[6478]: Updating entry uid=pkidbuser,ou=people,o=ipaca<br class="gmail_msg">
[...] renew_ca_cert[6478]: Starting pki_tomcatd<br class="gmail_msg">
[...] renew_ca_cert[6478]: Started pki_tomcatd<br class="gmail_msg">
<br class="gmail_msg">
If the operation does not succeed, you will have to check the LDAP<br class="gmail_msg">
server logs in /etc/dirsrv/slapd-DOMAIN/access.<br class="gmail_msg">
<br class="gmail_msg">
HTH,<br class="gmail_msg">
Flo.<br class="gmail_msg">
<br class="gmail_msg">
> Em qui, 22 de dez de 2016 às 06:54, Florence Blanc-Renaud<br class="gmail_msg">
> <<a href="mailto:flo@redhat.com" class="gmail_msg" target="_blank">flo@redhat.com</a> <mailto:<a href="mailto:flo@redhat.com" class="gmail_msg" target="_blank">flo@redhat.com</a>>> escreveu:<br class="gmail_msg">
><br class="gmail_msg">
>     On 12/21/2016 07:52 PM, Lucas Diedrich wrote:<br class="gmail_msg">
>     > Hello guys,<br class="gmail_msg">
>     ><br class="gmail_msg">
>     > I'm having some trouble with, whats is happening with my server is<br class="gmail_msg">
>     that<br class="gmail_msg">
>     > i'm hiting an old BUG<br class="gmail_msg">
>     > (<a href="https://bugzilla.redhat.com/show_bug.cgi?id=1033273" rel="noreferrer" class="gmail_msg" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1033273</a>). Talking to<br class="gmail_msg">
>     mbasti<br class="gmail_msg">
>     > over irc he oriented me to send this to the email list.<br class="gmail_msg">
>     ><br class="gmail_msg">
>     > The problem is, i got on CA Master, so because of this problem the CA<br class="gmail_msg">
>     > Master certificates couldn't be renewd, so now i promoted another<br class="gmail_msg">
>     master<br class="gmail_msg">
>     > to be the CA. And the problem still persist.<br class="gmail_msg">
>     ><br class="gmail_msg">
>     > This is the certs from my new CA<br class="gmail_msg">
>     > (<a href="https://paste.fedoraproject.org/510617/14823448/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/510617/14823448/</a>),<br class="gmail_msg">
>     > this is the certs from my old CA<br class="gmail_msg">
>     > (<a href="https://paste.fedoraproject.org/510618/44871148/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/510618/44871148/</a>)<br class="gmail_msg">
>     > This is the log then i restart pki-tomcat( "CA port 636 Error<br class="gmail_msg">
>     > netscape.ldap.LDAPException: Authentication failed (49)")<br class="gmail_msg">
>     > This is the log from dirsrv when i restart pki-tomcat<br class="gmail_msg">
>     > (<a href="https://paste.fedoraproject.org/510614/23446801/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/510614/23446801/</a>)<br class="gmail_msg">
>     ><br class="gmail_msg">
>     > Basically my CA is not working anymore...<br class="gmail_msg">
>     ><br class="gmail_msg">
>     > Anyway, i tried lots of thing but couldn't fix this, anyone has<br class="gmail_msg">
>     some idea?<br class="gmail_msg">
>     ><br class="gmail_msg">
>     ><br class="gmail_msg">
>     ><br class="gmail_msg">
>     Hi,<br class="gmail_msg">
><br class="gmail_msg">
>     Pki-tomcat is using the LDAP server as a data store, meaning that it<br class="gmail_msg">
>     needs to authenticate to LDAP. In order to do that, pki-tomcat is using<br class="gmail_msg">
>     the certificate 'subsystemCert cert-pki-ca' stored in<br class="gmail_msg">
>     /etc/pki/pki-tomcat/alias. For the authentication to succeed, the<br class="gmail_msg">
>     certificate must be stored in a user entry<br class="gmail_msg">
>     (uid=pkidbuser,ou=people,o=ipaca).<br class="gmail_msg">
><br class="gmail_msg">
>     Can you check the content of this entry, especially the usercertificate<br class="gmail_msg">
>     attribute? It should match the certificate used by pki-tomcat:<br class="gmail_msg">
><br class="gmail_msg">
>     $ certutil -L -d /etc/pki/pki-tomcat/alias -n 'subsystemCert<br class="gmail_msg">
>     cert-pki-ca' -a<br class="gmail_msg">
>     -----BEGIN CERTIFICATE-----<br class="gmail_msg">
>     [...]<br class="gmail_msg">
>     -----END CERTIFICATE-----<br class="gmail_msg">
><br class="gmail_msg">
>     $ kinit admin<br class="gmail_msg">
>     $ ldapsearch -Y GSSAPI -h `hostname` -p 389 -b<br class="gmail_msg">
>     uid=pkidbuser,ou=people,o=ipaca "(objectclass=*)" usercertificate<br class="gmail_msg">
>     dn: uid=pkidbuser,ou=people,o=ipaca<br class="gmail_msg">
>     usercertificate:: <content should match the output above><br class="gmail_msg">
><br class="gmail_msg">
>     The file /etc/pki/pki-tomcat/ca/CS.cfg should also contain this<br class="gmail_msg">
>     certificate in the directive ca.subsystem.cert.<br class="gmail_msg">
><br class="gmail_msg">
><br class="gmail_msg">
>     A possible cause for the entries not being updated is the bug 1366915<br class="gmail_msg">
>     [1] linked to SE linux on RHEL7, or bug 1365188 [2] linked to SE linux<br class="gmail_msg">
>     on Fedora 24.<br class="gmail_msg">
><br class="gmail_msg">
>     Flo<br class="gmail_msg">
><br class="gmail_msg">
>     [1] <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1366915" rel="noreferrer" class="gmail_msg" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1366915</a><br class="gmail_msg">
>     [2] <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1365188" rel="noreferrer" class="gmail_msg" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1365188</a><br class="gmail_msg">
><br class="gmail_msg">
><br class="gmail_msg">
><br class="gmail_msg">
<br class="gmail_msg">
</blockquote></div></div></div>