<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>Code looks good.  One suggestion.  Since we have to appease to
      the current NSS way of looking up certs, how about making the
      default true so that it will keep the old encryption certs by
      default?</p>
    <p>Of course we are taking up more space now on the token when it's
      true, so we should plan to revert it when/if NSS changes.<br>
    </p>
    <p>conditional ACK if you do that.<br>
    </p>
    <p>Christina<br>
    </p>
    <br>
    <div class="moz-cite-prefix">On 10/07/2016 02:01 PM, John Magne
      wrote:<br>
    </div>
    <blockquote
      cite="mid:11485517.1501533.1475874092108.JavaMail.zimbra@redhat.com"
      type="cite">
      <pre wrap="">Actually attach the patch.

----- Forwarded Message -----
From: "John Magne" <a class="moz-txt-link-rfc2396E" href="mailto:jmagne@redhat.com"><jmagne@redhat.com></a>
To: "pki-devel" <a class="moz-txt-link-rfc2396E" href="mailto:pki-devel@redhat.com"><pki-devel@redhat.com></a>
Sent: Friday, October 7, 2016 11:45:17 AM
Subject: [pli-devel][PATCH] 0081-Fix-for-Add-ability-to-disallow-TPS-to-enroll-a-sing.patch

Fix for: Add ability to disallow TPS to enroll a single user on multiple tokens. #1664
    
    This bug was previously not completely fixed where we left a loophole to allow a user to
    end up with 2 active tokens. This fix closes that loophole.
    
    Also:
    
    Fix for: Unable to read an encrypted email using renewed tokens. #2483
    
    This fix provides for a new optional renewal based token policy, that
    allows the user to retain or recover old encryption certs for that profile,
    that get overwritten by the renewal process.
    
    An example is:
    
    RENEW=YES;RENEW_KEEP_OLD_ENC_CERTS=YES
    
    The second part of the policy is new.
    
    When this is set to "YES", the system will make sure the old enc cert
    will remain on the token. If it's missing or "NO", no such attempt will be made.
</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Pki-devel mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Pki-devel@redhat.com">Pki-devel@redhat.com</a>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/pki-devel">https://www.redhat.com/mailman/listinfo/pki-devel</a></pre>
    </blockquote>
    <br>
  </body>
</html>