<div dir="ltr"><div>Hi </div><div><br></div><div>I'm experiencing an issue trying to use ipa-getcert on my IPA clients. </div><div><br></div><div>When I run a command similar to this</div><div><font face="courier new,monospace">ipa-getcert request -K principal/`hostname` -D `hostname` \</font><div>

<font face="courier new,monospace"><code> </code><code>-k /var/lib/ssl/private_keys/`hostname`.pem \</code></font></div><div><font face="courier new,monospace"><code> </code><code>-f /var/lib/ssl/certs/`hostname`.pem</code></font></div>

</div><div><br></div><div>Sometimes it will work, but 9 times out of 10 an "ipa-getcert list" will show the request failed with a status of CA_UNREACHABLE. I'm fairly certain it's not a time related issue as I tend to run the command just after enrolment and our NTP servers are rock solid. </div>

<div><br></div><div>Now please correct me if I'm wrong (because it feels like I am wrong) but I think this is happening because not all of my replicas are Certificate Authorities but the clients are still trying to validate their certificate signing requests with them. </div>

<div><br></div><div>Am I mistaken? Have I misconfigured something? If my theory is correct is there a way to force the client to only talk to the replica(s) running the CA service for these types of tasks?</div><div><br>
</div>
<div>Anyway to try and get round the issue I decided to try and make all my IPA replicas Certificate Authorities and ran into the issue linked below</div><div><br></div><div><font color="#000000"><span id="summary_alias_container">Bug 905064 - <span id="short_desc_nonedit_display">ipa install error Unable to find preop.pin</span></span></font></div>

<div><a href="https://bugzilla.redhat.com/show_bug.cgi?id=905064">https://bugzilla.redhat.com/show_bug.cgi?id=905064</a></div><div><br></div><div>This has stopped me from rolling out the CA functionality across all of my replicas (and I almost trashed a replica in the process of trying to work around it). </div>

<div><br></div><div>I'm not really bothered which way I go about solving the problem but would really appreciate some assistance as it feels like I'm stuck between a rock and a hard place.</div><div><br></div><div>

Thanks,</div><div>Charlie</div><div><br></div><div><br></div></div>