<p dir="ltr">Hi Rob</p>
<p dir="ltr">This is the only CA master. The one I cloned it from was decommissioned,  reinstalled and then  made to be a replica of this server. </p>
<p dir="ltr">Looks like I'm really stuck.  How do I export the data out so I can reinstall from scratch, if possible? There are a lot of rules and configuration data I'd really like to keep.  </p>
<br><div class="gmail_quote">On Wed, May 20, 2015, 2:32 PM Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sina Owolabi wrote:<br>
> Another key difference I noticed is that the problematic certs have<br>
> CA:IPA in them, while the working certs have CA:<br>
> dogtag-ipa-retrieve-agent-submit.<br>
<br>
Ok, the full output is really helpful.<br>
<br>
First an explanation of CA subsystem renewal.<br>
<br>
CA clones are just that, exact clones of each other, which means they<br>
use the same subsystem certificates for OCSP, audit, etc. This also<br>
means that at renewal time they need to be renewed on only one master<br>
and then somehow shared with the ohter clones.<br>
<br>
The initially-installed CA is designated as the renewal master by<br>
default. It configures certmonger to renew the CA subsytem certificates<br>
and put the new public cert into a shared area in IPA that will be<br>
replicated to the other masters.<br>
<br>
The non-renewal masters are configured with a special CA,<br>
dogtag-ipa-retrieve-agent-submit, that looks in this shared area for an<br>
updated certificate and when available, it installs it.<br>
<br>
So the issue is that it isn't seeing this updated certificate, hence<br>
CA_WORKING.<br>
<br>
The CA_UNREACHABLE are due to the fact that the IPA RA agent certificate<br>
that IPA uses to talk to the CA expired on 04/29.<br>
<br>
So the steps you need to take are:<br>
<br>
1. Check your other CA masters and see if they have been renewed<br>
properly (getcert list will tell you, look for expiration in 2017).<br>
2. If they have, see if the data was pushed to LDAP<br>
<br>
$ kinit admin<br>
$ ldapsearch -Y GSSAPI -b cn=ca_renewal,cn=ipa,cn=etc,dc=example,dc=com<br>
<br>
See if there are certificate entries there. Check on multiple masters to<br>
see if there is a replication issue.<br>
<br>
If the certs are there you can try restarting certmonger to kickstart<br>
the request.<br>
<br>
rob<br>
<br>
</blockquote></div>