<div dir="ltr"><div>Good afternoon!</div><div>Many thanks! It works!</div><div>But I would recommend to add an option when signing OpenSSL -set_serial 1.</div><div>Then the imported root certificate will have the correct serial number 1.</div><div><br></div><div>Anatoly.</div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-06-16 18:13 GMT+03:00 Endi Sukma Dewata <span dir="ltr"><<a href="mailto:edewata@redhat.com" target="_blank">edewata@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 06/16/2016 09:47 AM, anater dembelov wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  By an example from<br>
<a href="http://pki.fedoraproject.org/wiki/Installing_CA_with_OpenSSL_CA_Certificate" rel="noreferrer" target="_blank">http://pki.fedoraproject.org/wiki/Installing_CA_with_OpenSSL_CA_Certificate</a><br>
I created keys, request and the certificate.<br>
But!<br>
[root@f23-zero ~] # pki pkcs12-cert-mod - pkcs12-file ca.p12 "CA<br>
Certificate" - pkcs12-password-file password.txt - trust-flags CTu, Cu, Cu<br>
NotInitializedException: null<br>
<br>
Not work!?<br>
<br>
Help!<br>
</blockquote>
<br></span>
Hi, it looks like you need to create an NSS database for the pki tool first:<br>
<br>
$ pki -c Secret123 client-init<br>
<br>
For the --trust-flags option there should not be any space between the flags. And make sure the double-dashes are written exactly as in the example.<br>
<br>
I've updated the wiki page based on your feedback. Thanks!<br>
Just let me know if there are other problems.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
Endi S. Dewata<br>
</font></span></blockquote></div><br></div>