<div dir="ltr">sure... let me get you a trace. Are there any specific flags I should set in strace?<div><br></div><div>Also... when I request a cert using caServerCert and approve it in DogTag, the certmonger request sits in CA_WORKING status for a while. How long can I expect it to stay that way? </div><div><br></div><div>I've always been impatient and done a <i>getcert refresh </i>on the request to force a download but is there a configurable poll interval or anything? I didn't see anything obvious in the docs.</div><div><br></div><div>--steve</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 8, 2015 at 4:35 PM, Nalin Dahyabhai <span dir="ltr"><<a href="mailto:nalin@redhat.com" target="_blank">nalin@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Apr 08, 2015 at 09:35:31AM -0500, Steve Neuharth wrote:<br>
> yes, I have indeed set SELinux to permissive to eliminate any potential<br>
> security collisions.<br>
><br>
> If I configure my 'DogtagAuto' CA in /var/lib/certmonger/cas without the '-T<br>
> caAgentServerCert', the certmonger daemon dies as soon as I request a<br>
> certificate using that CA. Other than that, it looks like I'm using the<br>
> same flags as you.<br>
<br>
</span>Well, it shouldn't be dying at least.  If you can get a coredump or a<br>
backtrace out of it, that'll help track it down.  I'm not really sure<br>
how the use (or not) of the -T flag with the helper could be affecting<br>
that, though, as when I tried obtaining a certificate using it and the<br>
caServerCert profile, it succeeded.<br>
<br>
I got an authentication error attempting to specify the<br>
caAgentServerCert profile, which makes some sense since the helper<br>
submits the request using using the end-entity services interface and<br>
only uses the agent creds when it goes back to approve it using the<br>
agent services interface.<br>
<span class=""><br>
> when I run dogtag-submit this way manually (without the template), I see<br>
> that it reutrns: results = "<?xml version="1.0" encoding="UTF-8"<br>
> standalone="no"?><XMLResponse><Status>2</Status><Error>Request Deferred -<br>
> {0}</Error><RequestId>  70</RequestId></XMLResponse>"<br>
> 0<br>
> state=approve&requestId=70<br>
><br>
> I find it strange that this response would crash certmonger. Also, wouldn't<br>
> I need to specify a template if I need to automatically sign the cert and<br>
> get the cert immediately?<br>
<br>
</span>The helper hard-codes a default of "caServerCert" if the flag isn't<br>
used, and that looks like a pretty normal delay-and-state-cookie output<br>
value to me, so a backtrace would be really helpful in diagnosing what's<br>
happening when you try it.<br>
<br>
HTH,<br>
<br>
Nalin<br>
</blockquote></div><br></div>