<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-AU" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">Does anyone have any ideas on the below errors when trying to add CA replication to an existing replica?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Thanks in advance,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Les<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:EN-AU">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:EN-AU"> freeipa-users-bounces@redhat.com
 [mailto:freeipa-users-bounces@redhat.com] <b>On Behalf Of </b>Les Stott<br>
<b>Sent:</b> Tuesday, 2 December 2014 6:17 PM<br>
<b>To:</b> freeipa-users@redhat.com<br>
<b>Subject:</b> [Freeipa-users] CA Replication Installation Failing<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Hi All,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have RHEL6 with ipa servers running standard ipa server 3.0.0-42. Pki components are also standard version 9.0.3-38.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Servera is the master<o:p></o:p></p>
<p class="MsoNormal">Serverb is the replica<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Both have been running for many, many months. Serverb was initially setup as a replica, but not a CA replica.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I am now trying to add CA Replication to serverb but it is failing midway through and I cannot figure out why.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Annoyingly, I used the same method/command to setup a CA replica on test servers and it completed without issue.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is what I get….(for the sake of brevity, I am excluding the lines for connection check which were all OK)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal">/usr/sbin/ipa-ca-install /var/lib/ipa/replica-info-serverb.mydomain.com.gpg<o:p></o:p></p>
<p class="MsoNormal">Directory Manager (existing master) password:<o:p></o:p></p>
<p class="MsoNormal">Get credentials to log in to remote master<o:p></o:p></p>
<p class="MsoNormal"><a href="mailto:admin@MYDOMAIN.COM">admin@MYDOMAIN.COM</a> password:<o:p></o:p></p>
<p class="MsoNormal">Execute check on remote master<o:p></o:p></p>
<p class="MsoNormal">Connection check OK<o:p></o:p></p>
<p class="MsoNormal">Configuring directory server for the CA (pkids): Estimated time 30 seconds<o:p></o:p></p>
<p class="MsoNormal">  [1/3]: creating directory server user<o:p></o:p></p>
<p class="MsoNormal">  [2/3]: creating directory server instance<o:p></o:p></p>
<p class="MsoNormal">  [3/3]: restarting directory server<o:p></o:p></p>
<p class="MsoNormal">Done configuring directory server for the CA (pkids).<o:p></o:p></p>
<p class="MsoNormal">Configuring certificate server (pki-cad): Estimated time 3 minutes 30 seconds<o:p></o:p></p>
<p class="MsoNormal">  [1/16]: creating certificate server user<o:p></o:p></p>
<p class="MsoNormal">  [2/16]: creating pki-ca instance<o:p></o:p></p>
<p class="MsoNormal">  [3/16]: configuring certificate server instance<o:p></o:p></p>
<p class="MsoNormal">ipa         : CRITICAL failed to configure ca instance Command '/usr/bin/perl /usr/bin/pkisilent ConfigureCA -cs_hostname serverb.mydomain.com -cs_port 9445 -client_certdb_dir /tmp/tmp-t3aHM7 -client_certdb_pwd XXXXXXXX -preop_pin exoyO2y7bawG5yjZMACM
 -domain_name IPA -admin_user admin -admin_email root@localhost -admin_password XXXXXXXX -agent_name ipa-ca-agent -agent_key_size 2048 -agent_key_type rsa -agent_cert_subject CN=ipa-ca-agent,O=MYDOMAIN.COM -ldap_host serverb.mydomain.com -ldap_port 7389 -bind_dn
 cn=Directory Manager -bind_password XXXXXXXX -base_dn o=ipaca -db_name ipaca -key_size 2048 -key_type rsa -key_algorithm SHA256withRSA -save_p12 true -backup_pwd XXXXXXXX -subsystem_name pki-cad -token_name internal -ca_subsystem_cert_subject_name CN=CA Subsystem,O=MYDOMAIN.COM
 -ca_subsystem_cert_subject_name CN=CA Subsystem,O=MYDOMAIN.COM -ca_ocsp_cert_subject_name CN=OCSP Subsystem,O=MYDOMAIN.COM -ca_server_cert_subject_name CN=serverb.mydomain.com,O=MYDOMAIN.COM -ca_audit_signing_cert_subject_name CN=CA Audit,O=MYDOMAIN.COM -ca_sign_cert_subject_name
 CN=Certificate Authority,O=MYDOMAIN.COM -external false -clone true -clone_p12_file ca.p12 -clone_p12_password XXXXXXXX -sd_hostname servera.mydomain.com -sd_admin_port 443 -sd_admin_name admin -sd_admin_password XXXXXXXX -clone_start_tls true -clone_uri
<a href="https://servera.mydomain.com:443">https://servera.mydomain.com:443</a>' returned non-zero exit status 255<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Your system may be partly configured.<o:p></o:p></p>
<p class="MsoNormal">Run /usr/sbin/ipa-server-install --uninstall to clean up.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Configuration of CA failed<o:p></o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Additional excerpt from the log file /var/log/ipareplica-ca-install.log at the point of failure….<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#############################################<o:p></o:p></p>
<p class="MsoNormal">Attempting to connect to: serverb.mydomain.com:9445<o:p></o:p></p>
<p class="MsoNormal">Connected.<o:p></o:p></p>
<p class="MsoNormal">Posting Query = <a href="https://serverb.mydomain.com:9445/ca/admin/console/config/wizard?p=7&op=next&xml=true&__password=XXXXXXXX&path=ca.p12">
https://serverb.mydomain.com:9445//ca/admin/console/config/wizard?p=7&op=next&xml=true&__password=XXXXXXXX&path=ca.p12</a><o:p></o:p></p>
<p class="MsoNormal">RESPONSE STATUS:  HTTP/1.1 200 OK<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER:  Server: Apache-Coyote/1.1<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER:  Content-Type: application/xml;charset=UTF-8<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER:  Date: Tue, 02 Dec 2014 05:44:19 GMT<o:p></o:p></p>
<p class="MsoNormal">RESPONSE HEADER:  Connection: close<o:p></o:p></p>
<p class="MsoNormal"><?xml version="1.0" encoding="UTF-8"?><o:p></o:p></p>
<p class="MsoNormal"><!-- BEGIN COPYRIGHT BLOCK<o:p></o:p></p>
<p class="MsoNormal">     This program is free software; you can redistribute it and/or modify<o:p></o:p></p>
<p class="MsoNormal">     it under the terms of the GNU General Public License as published by<o:p></o:p></p>
<p class="MsoNormal">     the Free Software Foundation; version 2 of the License.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">     This program is distributed in the hope that it will be useful,<o:p></o:p></p>
<p class="MsoNormal">     but WITHOUT ANY WARRANTY; without even the implied warranty of<o:p></o:p></p>
<p class="MsoNormal">     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the<o:p></o:p></p>
<p class="MsoNormal">     GNU General Public License for more details.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">     You should have received a copy of the GNU General Public License along<o:p></o:p></p>
<p class="MsoNormal">     with this program; if not, write to the Free Software Foundation, Inc.,<o:p></o:p></p>
<p class="MsoNormal">     51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">     Copyright (C) 2007 Red Hat, Inc.<o:p></o:p></p>
<p class="MsoNormal">     All rights reserved.<o:p></o:p></p>
<p class="MsoNormal">     END COPYRIGHT BLOCK --><o:p></o:p></p>
<p class="MsoNormal"><response><o:p></o:p></p>
<p class="MsoNormal">  <panel>admin/console/config/restorekeycertpanel.vm</panel><o:p></o:p></p>
<p class="MsoNormal">  <res/><o:p></o:p></p>
<p class="MsoNormal">  <updateStatus>failure</updateStatus><o:p></o:p></p>
<p class="MsoNormal">  <password/><o:p></o:p></p>
<p class="MsoNormal">  <errorString>The pkcs12 file is not correct.</errorString><o:p></o:p></p>
<p class="MsoNormal">  <size>19</size><o:p></o:p></p>
<p class="MsoNormal">  <title>Import Keys and Certificates</title><o:p></o:p></p>
<p class="MsoNormal">  <panels><o:p></o:p></p>
<p class="MsoNormal">    <Vector><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>welcome</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Welcome</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>module</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Key Store</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>confighsmlogin</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>ConfigHSMLogin</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>securitydomain</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Security Domain</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>securitydomain</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Display Certificate Chain</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>subsystem</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Subsystem Type</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>clone</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Display Certificate Chain</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>restorekeys</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Import Keys and Certificates</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>cahierarchy</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>PKI Hierarchy</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>database</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Internal Database</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>size</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Key Pairs</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>subjectname</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Subject Names</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>certrequest</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Requests and Certificates</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>backupkeys</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Export Keys and Certificates</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>savepk12</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Save Keys and Certificates</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>importcachain</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Import CA's Certificate Chain</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>admin</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Administrator</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>importadmincert</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Import Administrator's Certificate</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">      <Panel><o:p></o:p></p>
<p class="MsoNormal">        <Id>done</Id><o:p></o:p></p>
<p class="MsoNormal">        <Name>Done</Name><o:p></o:p></p>
<p class="MsoNormal">      </Panel><o:p></o:p></p>
<p class="MsoNormal">    </Vector><o:p></o:p></p>
<p class="MsoNormal">  </panels><o:p></o:p></p>
<p class="MsoNormal">  <name>CA Setup Wizard</name><o:p></o:p></p>
<p class="MsoNormal">  <p>7</p><o:p></o:p></p>
<p class="MsoNormal">  <path/><o:p></o:p></p>
<p class="MsoNormal">  <req/><o:p></o:p></p>
<p class="MsoNormal">  <panelname>restorekeys</panelname><o:p></o:p></p>
<p class="MsoNormal"></response><o:p></o:p></p>
<p class="MsoNormal">Error in RestoreKeyCertPanel(): updateStatus returns failure<o:p></o:p></p>
<p class="MsoNormal">ERROR: ConfigureCA: RestoreKeyCertPanel() failure<o:p></o:p></p>
<p class="MsoNormal">ERROR: unable to create CA<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#######################################################################<o:p></o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z DEBUG stderr=<o:p></o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z CRITICAL failed to configure ca instance Command '/usr/bin/perl /usr/bin/pkisilent ConfigureCA -cs_hostname serverb.mydomain.com -cs_port 9445 -client_certdb_dir /tmp/tmp-1Tqws5 -client_certdb_pwd XXXXXXXX -preop_pin
 rdkE0y2CiGMKNcRRPKKc -domain_name IPA -admin_user admin -admin_email root@localhost -admin_password XXXXXXXX -agent_name ipa-ca-agent -agent_key_size 2048 -agent_key_type rsa -agent_cert_subject CN=ipa-ca-agent,O=MYDOMAIN.COM -ldap_host serverb.mydomain.com
 -ldap_port 7389 -bind_dn cn=Directory Manager -bind_password XXXXXXXX -base_dn o=ipaca -db_name ipaca -key_size 2048 -key_type rsa -key_algorithm SHA256withRSA -save_p12 true -backup_pwd XXXXXXXX -subsystem_name pki-cad -token_name internal -ca_subsystem_cert_subject_name
 CN=CA Subsystem,O=MYDOMAIN.COM -ca_subsystem_cert_subject_name CN=CA Subsystem,O=MYDOMAIN.COM -ca_ocsp_cert_subject_name CN=OCSP Subsystem,O=MYDOMAIN.COM -ca_server_cert_subject_name CN=serverb.mydomain.com,O=MYDOMAIN.COM -ca_audit_signing_cert_subject_name
 CN=CA Audit,O=MYDOMAIN.COM -ca_sign_cert_subject_name CN=Certificate Authority,O=MYDOMAIN.COM -external false -clone true -clone_p12_file ca.p12 -clone_p12_password XXXXXXXX -sd_hostname servera.mydomain.com -sd_admin_port 443 -sd_admin_name admin -sd_admin_password
 XXXXXXXX -clone_start_tls true -clone_uri <a href="https://servera.mydomain.com:443">
https://servera.mydomain.com:443</a>' returned non-zero exit status 255<o:p></o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z INFO   File "/usr/lib/python2.6/site-packages/ipaserver/install/installutils.py", line 614, in run_script<o:p></o:p></p>
<p class="MsoNormal">    return_value = main_function()<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">  File "/usr/sbin/ipa-ca-install", line 149, in main<o:p></o:p></p>
<p class="MsoNormal">    (CA, cs) = cainstance.install_replica_ca(config, postinstall=True)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">  File "/usr/lib/python2.6/site-packages/ipaserver/install/cainstance.py", line 1626, in install_replica_ca<o:p></o:p></p>
<p class="MsoNormal">    subject_base=config.subject_base)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">  File "/usr/lib/python2.6/site-packages/ipaserver/install/cainstance.py", line 626, in configure_instance<o:p></o:p></p>
<p class="MsoNormal">    self.start_creation(runtime=210)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">  File "/usr/lib/python2.6/site-packages/ipaserver/install/service.py", line 358, in start_creation<o:p></o:p></p>
<p class="MsoNormal">    method()<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">  File "/usr/lib/python2.6/site-packages/ipaserver/install/cainstance.py", line 888, in __configure_instance<o:p></o:p></p>
<p class="MsoNormal">    raise RuntimeError('Configuration of CA failed')<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">2014-12-02T05:44:19Z INFO The ipa-ca-install command failed, exception: RuntimeError: Configuration of CA failed<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">=================<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I am not sure why this is happening.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certutil shows that the setup isn’t complete on serverb when comparing against the CA replica in my test servers which were successful.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># certutil -L -d /var/lib/pki-ca/alias<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certificate Nickname                                         Trust Attributes<o:p></o:p></p>
<p class="MsoNormal">                                                             SSL,S/MIME,JAR/XPI<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certificate Authority - MYDOMAIN.COM                      CT,c,<o:p></o:p></p>
<p class="MsoNormal">Server-Cert cert-pki-ca                                      CTu,Cu,Cu<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># certutil -K -d /var/lib/pki-ca/alias<o:p></o:p></p>
<p class="MsoNormal">certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"<o:p></o:p></p>
<p class="MsoNormal">Enter Password or Pin for "NSS Certificate DB":<o:p></o:p></p>
<p class="MsoNormal">< 0> rsa      ef25de4fb656a27e297899509bc3dad582bcd643   NSS Certificate DB:Server-Cert cert-pki-ca<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">As yet, I have not tried “/usr/sbin/ipa-server-install –uninstall” in an attempt to cleanup as this is a production server and apart from CA replication, it is running fine. I have tried multiple times manually removing pki instances and
 reinstalling but it still won’t get past the above error.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Can anyone shed any light on this?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks in advance,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Les<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</body>
</html>