<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
<div id="divtagdefaultwrapper" style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<p style="margin-top:0;margin-bottom:0">Hi John, thanks for the feedback. <br>
</p>
<p style="margin-top:0;margin-bottom:0"><br>
</p>
<p style="margin-top:0;margin-bottom:0">I used this URL as help to disable self tests.
<br>
</p>
<p style="margin-top:0;margin-bottom:0"><a href="https://www.dogtagpki.org/wiki/Offline_System_Certificate_Renewal#Manual_Renewal_Process" class="OWAAutoLink" id="LPlnk241641" previewremoved="true">https://www.dogtagpki.org/wiki/Offline_System_Certificate_Renewal#Manual_Renewal_Process</a></p>
<p style="margin-top:0;margin-bottom:0"><br>
</p>
Many of  "pki-server" command options are not present for me, since pki-server version is 10.3, I believe the doc applies for 10.5.
<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
But I was able to disable self test and PKI is responsive now. <br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
After system time is back, I use 'getcert resubmit' to renew a cert and seeing this certmonger errors </div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
Basically is some : <br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
"<span>ACIError: Insufficient access:  Invalid credentials"</span></div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
[journalctl messages] <br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
------------------------------<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<div>Aug 10 01:04:34 ca-ldap01 dogtag-ipa-ca-renew-agent-submit: Traceback (most recent call last):#012  File "/usr/libexec/certmonger/dogtag-ipa-ca-renew-agent-submit", line 511, in <module>#012    sys.exit(main())#012  File "/usr/libexec/certmonger/dogtag-ipa-ca-renew-agent-submit",
 line 497, in main#012    if ca.is_renewal_master():#012  File "/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py", line 1188, in is_renewal_master#012    self.ldap_connect()#012  File "/usr/lib/python2.7/site-packages/ipaserver/install/service.py",
 line 177, in ldap_connect#012    conn.do_bind(self.dm_password, autobind=self.autobind)#012  File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py", line 1690, in do_bind#012    self.do_sasl_gssapi_bind(timeout=timeout)#012  File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py",
 line 1668, in do_sasl_gssapi_bind#012    self.__bind_with_wait(self.gssapi_bind, timeout)#012  File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py", line 1650, in __bind_with_wait#012    bind_func(*args, **kwargs)#012  File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py",
 line 1108, in gssapi_bind#012    '', auth_tokens, server_controls, client_controls)#012  File "/usr/lib64/python2.7/contextlib.py", line 35, in __exit__#012    self.gen.throw(type, value, traceback)#012  File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py",
 line 973, in error_handler#012    raise errors.ACIError(info="%s %s" % (info, desc))#012ACIError: Insufficient access:  Invalid credentials<br>
<br>
</div>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<span><br>
</span></div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
[syslog messages]</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
------------------------<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<div>Aug 10 01:04:34 ca-ldap01 dogtag-ipa-ca-renew-agent-submit[9333]: Traceback (most recent call last):<br>
File "/usr/libexec/certmonger/dogtag-ipa-ca-renew-agent-submit", line 511, in <module><br>
sys.exit(main())<br>
File "/usr/libexec/certmonger/dogtag-ipa-ca-renew-agent-submit", line 497, in main if ca.is_renewal_master():<br>
File "/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py", line 1188, in is_renewal_master<br>
self.ldap_connect()<br>
File "/usr/lib/python2.7/site-packages/ipaserver/install/service.py", line 177, in ldap_connect<br>
conn.do_bind(self.dm_password, autobind=self.autobind)<br>
File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py", line 1690, in do_bind<br>
self.do_sasl_gssapi_bind(timeout=timeout)<br>
File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py", line 1668, in do_sasl_gssapi_bind<br>
self.__bind_with_wait(self.gssapi_bind, timeout)<br>
File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py", line 1650, in __bind_with_wait<br>
bind_func(*args, **kwargs)<br>
File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py", line 1108, in gssapi_bind<br>
'', auth_tokens, server_controls, client_controls)<br>
File "/usr/lib64/python2.7/contextlib.py", line 35, in __exit__<br>
self.gen.throw(type, value, traceback)<br>
File "/usr/lib/python2.7/site-packages/ipapython/ipaldap.py", line 973, in error_handler<br>
raise errors.ACIError(info="%s %s" % (info, desc))<br>
ACIError: Insufficient access:  Invalid credentials<br>
Aug 10 01:04:34 ca-ldap01 certmonger[8834]: 2018-08-10 01:04:34 [8834] Internal error</div>
<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
Is there any URL that's relevant for pki 10.3</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
thanks in advance, Zarko<br>
</div>
<div style="font-size: 12pt; color: rgb(0, 0, 0); font-family: Calibri, Helvetica, sans-serif, "EmojiFont", "Apple Color Emoji", "Segoe UI Emoji", NotoColorEmoji, "Segoe UI Symbol", "Android Emoji", EmojiSymbols;" dir="ltr">
<br>
<br>
<div style="color: rgb(0, 0, 0);">
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>From:</b> John Magne <jmagne@redhat.com><br>
<b>Sent:</b> Wednesday, November 14, 2018 6:16 PM<br>
<b>To:</b> Z D<br>
<b>Subject:</b> Re: [Pki-users] expired pki-server 10.3.3 certificates</font>
<div> </div>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">
<div class="PlainText">Hi:<br>
<br>
YOu can try to temporarily disable the self tests for you ca, until<br>
the new certs are resolved.<br>
<br>
Look in the CS.cfg file for the ca in question and there is a big section<br>
controlling the self tests. Just experiment with commenting out the tests and see if that
<br>
gets you past the hurdle..<br>
<br>
<br>
<br>
<a href="https://www.redhat.com/mailman/listinfo/pki-users" id="LPlnk101008" class="OWAAutoLink" previewremoved="true"></a><br>
</div>
</span></font></div>
</div>
</div>
</div>
</body>
</html>