<div dir="ltr"><div>Hi:</div><div><br></div><div>I already done input new cert but ipa-replica-prepare <a href="http://central03.ABC.com">central03.ABC.com</a> (ipa 3.0) it fail with the error as below:</div><div>which "location" I should check the old cert still inside some where<span><span><br></span></span></div><div><br></div><div>Below I already input CA / server cert ..and nssdb poting is right ..already spent serveral days to check where is it I also try direct use pfx for the cert directly but same error comesout...seem it still use old cert to compare.</div><div><br></div><div>Any idea ? many thanks </div><div><br></div><div>/var/lib/pki-ca/alias<br>/etc/dirsrv/slapd-PKI-IPA/<br>/etc/dirsrv/slapd-ABC-COM/<br>/etc/httpd/alias/<br>/etc/pki/nssdb/ </div><div><br></div><div>I use similar commands as below: and follow steps here: https web side already using new and dirsvr no error on starting only I cannot do replicas .</div><div><br></div><div><a href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP#Procedure_in_IPA_.3C_4.1">https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP#Procedure_in_IPA_.3C_4.1</a><span></span></div><div><br></div><div>certutil -A -d  /var/lib/pki-ca/alias/ -n 'EXT-CA' -t CT,C,C -a -i /root/ca.crt<span></span></div><div><br></div><div><br></div><div>ipa         : ERROR    cert validation failed for "CN=<a href="http://central.ABC.com">central.ABC.com</a>,O=<a href="http://ABC.COM">ABC.COM</a>" ((SEC_ERROR_EXPIRED_CERTIFICATE) Peer's Certificate has expired.)<br>preparation of replica failed: cannot connect to '<a href="https://central.ABCcom:9444/ca/ee/ca/profileSubmitSSLClient">https://central.ABCcom:9444/ca/ee/ca/profileSubmitSSLClient</a>': (SEC_ERROR_EXPIRED_CERTIFICATE) Peer's Certificate has expired.</div><span><div><span><div><br></div><div>Regards</div><div><br></div><div>Barry<br></div></span></div></span></div>