<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">I installed PKI-CA two years ago on a Redhat 7 server. I used it to create certificates for an application and have not needed it since. Now the PKI server certificates are about to expire, I’m trying to renew them using the directions
 at <a href="https://www.dogtagpki.org/wiki/System_Certificate_Renewal">https://www.dogtagpki.org/wiki/System_Certificate_Renewal</a> .  I am getting an error when I try to submit the renewal request. The error seems to be that it can’t find /pki/rest/info.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Installed packages:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">pki-base-10.5.9-6.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">pki-base-java-10.5.9-6.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">pki-ca-10.5.9-6.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">pki-kra-10.5.9-6.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">pki-server-10.5.9-6.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">pki-tools-10.5.9-6.el7.x86_64<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">nuxwdog-1.0.3-8.el7.x86_64<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:1.0in"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">java-1.8.0-openjdk-1.8.0.191.b12-1.el7_6.x86_64<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">java-1.8.0-openjdk-headless-1.8.0.191.b12-1.el7_6.x86_64<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">javapackages-tools-3.4.1-11.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">javassist-3.16.1-10.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">nuxwdog-client-java-1.0.3-8.el7.x86_64<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">rest-0.8.1-2.el7.x86_64<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">resteasy-base-atom-provider-3.0.6-4.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">resteasy-base-client-3.0.6-4.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">resteasy-base-jackson-provider-3.0.6-4.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">resteasy-base-jaxb-provider-3.0.6-4.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">resteasy-base-jaxrs-3.0.6-4.el7.noarch<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:1.0in">resteasy-base-jaxrs-api-3.0.6-4.el7.noarch<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Listing the certificates works. We do not use the default instance of pki-tomcat.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt"># pki-server cert-find -i <my-instance> ca<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">-----------------<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">5 entries matched<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">-----------------<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Cert ID: ca_signing<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Nickname: caSigningCert … CA<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Token: Internal Key Storage Token<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Serial Number: 0x1<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Subject DN: CN=CA Signing Certificate,…<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Issuer DN: CN=CA Signing Certificate,…<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Not Valid Before: Fri Mar 10 16:38:21 2017<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Not Valid After: Tue Mar 10 16:38:21 2037<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Cert ID: ca_ocsp_signing<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Nickname: ocspSigningCert … CA<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Token: Internal Key Storage Token<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Serial Number: 0x2<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Subject DN: CN=CA OCSP Signing Certificate,…<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Issuer DN: CN=CA Signing Certificate,OU=…<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Not Valid Before: Fri Mar 10 16:38:23 2017<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Not Valid After: Thu Feb 28 16:38:23 2019<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">[snip]<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">But the renewal request gives a Not Found error:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt"># pki -p 8370 ca-cert-request-submit --profile caManualRenewal --serial 0x2 --renewal<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">PKIException: Not Found<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Adding –v shows an error on the HTTP GET of /pki/rest/info. I don’t see that directory structure anywhere on the server. Am I missing something in the configuration, or is there another package I need to install? Do I have to point the
 command to our non-default instance, and if so, how do I do that? <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt"># pki -v -p 8370 ca-cert-request-submit --profile caManualRenewal --serial 0x2 --renewal<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">PKI options: -v<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">PKI command: 8370 -p 8370 ca-cert-request-submit --profile caManualRenewal --serial 0x2 --renewal<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Java command: /usr/lib/jvm/jre-1.8.0-openjdk/bin/java -Djava.ext.dirs=/usr/share/pki/lib -Djava.util.logging.config.file=/usr/share/pki/etc/logging.properties com.netscape.cmstools.cli.MainCLI
 --verbose -p 8370 ca-cert-request-submit --profile caManualRenewal --serial 0x2 --renewal<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Server URI: http://my-server:8370<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Client security database: /root/.dogtag/nssdb<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Message format: null<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Command: ca-cert-request-submit --profile caManualRenewal --serial 0x2 --renewal<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Initializing security database<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Module: ca<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Module: cert<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Module: request-submit<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Retrieving caManualRenewal profile.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">Initializing PKIClient<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt;background:yellow;mso-highlight:yellow">HTTP request: GET /pki/rest/info HTTP/1.1<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Accept-Encoding: gzip, deflate<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Accept: application/xml<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Host: my-server:8370<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Connection: Keep-Alive<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  User-Agent: Apache-HttpClient/4.2.5 (java 1.5)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt;background:yellow;mso-highlight:yellow">HTTP response: HTTP/1.1 404 Not Found<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Server: Apache-Coyote/1.1<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Content-Type: text/html;charset=utf-8<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Content-Language: en<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Content-Length: 977<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">  Date: Fri, 15 Feb 2019 18:53:25 GMT<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt;background:yellow;mso-highlight:yellow">com.netscape.certsrv.base.PKIException: Not Found<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.certsrv.client.PKIConnection.handleErrorResponse(PKIConnection.java:467)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.certsrv.client.PKIConnection.getEntity(PKIConnection.java:439)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.certsrv.client.PKIClient.getEntity(PKIClient.java:107)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at org.dogtagpki.common.InfoClient.getInfo(InfoClient.java:46)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.MainCLI.getClient(MainCLI.java:576)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.CLI.getClient(CLI.java:194)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.CLI.getClient(CLI.java:194)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.ca.CACertCLI.getCertClient(CACertCLI.java:95)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cert.CertRequestSubmitCLI.execute(CertRequestSubmitCLI.java:138)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.CLI.execute(CLI.java:345)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.CLI.execute(CLI.java:345)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.SubsystemCLI.execute(SubsystemCLI.java:67)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.CLI.execute(CLI.java:345)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.MainCLI.execute(MainCLI.java:633)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">        at com.netscape.cmstools.cli.MainCLI.main(MainCLI.java:669)<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:1.5in"><span style="font-size:9.0pt">ERROR: Command '['/usr/lib/jvm/jre-1.8.0-openjdk/bin/java', '-Djava.ext.dirs=/usr/share/pki/lib', '-Djava.util.logging.config.file=/usr/share/pki/etc/logging.properties', 'com.netscape.cmstools.cli.MainCLI',
 '--verbose', '-p', '8370', 'ca-cert-request-submit', '--profile', 'caManualRenewal', '--serial', '0x2', '--renewal']' returned non-zero exit status 255<o:p></o:p></span></p>
</div>
</body>
</html>