<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><div>Hello<br><br></div>Per <a href="http://www.freeipa.org/page/Howto/Change_Directory_Manager_Password" target="_blank">http://www.freeipa.org/page/Howto/Change_Directory_Manager_Password</a>, <br><br></div>I had changed  my dm_password and followed steps two and three of this how to...<br><br></div>Then when I run `ipa-replica-prepare -p $(cat ~/dm_password) --ip-address=172.17.0.6 <a href="http://ipa.us-west-2.domain.net" target="_blank">ipa.us-west-2.domain.net</a> --ca=/root/cacert.p12 --debug<br><br></div>I am not able to prepare replica file, which now errors out at:<br><br><br>```<br><br>Creating SSL certificate for the Directory Server<br>ipa         : DEBUG    Loading Index file from '/var/lib/ipa/sysrestore/sysrestore.index'<br>ipa         : DEBUG    Loading Index file from '/var/lib/ipa/sysrestore/sysrestore.index'<br>ipa         : DEBUG    args=/usr/bin/certutil -d /tmp/tmpnq4o0Yipa/realm_info -N -f /tmp/tmpnq4o0Yipa/realm_info/pwdfile.txt<br>ipa         : DEBUG    stdout=<br>ipa         : DEBUG    stderr=<br>ipa         : DEBUG    args=/usr/bin/certutil -d /tmp/tmpnq4o0Yipa/realm_info -A -n <a href="http://SHOOBX.NET" target="_blank">SHOOBX.NET</a> IPA CA -t CT,,C -a<br>ipa         : DEBUG    stdout=<br>ipa         : DEBUG    stderr=<br>ipa         : DEBUG    args=/usr/bin/certutil -d /tmp/tmpnq4o0Yipa/realm_info -R -s CN=<a href="http://ipa.us-west-2.XXXXX.net" target="_blank">ipa.us-west-2.XXXXX.net</a>,O=<a href="http://XXXXX.NET" target="_blank">XXXXX.NET</a> -o /var/lib/ipa/ipa-mB7ivC/tmpcertreq -k rsa -g 2048 -z /tmp/tmpnq4o0Yipa/realm_info/noise.txt -f /tmp/tmpnq4o0Yip<br>a/realm_info/pwdfile.txt<br>ipa         : DEBUG    stdout=<br>ipa         : DEBUG    stderr=<br><br>Generating key.  This may take a few moments...<br><br><br>certutil: could not find certificate named "CN=<a href="http://XXXXX.NET" target="_blank">XXXXX.NET</a> Certificate Authority": SEC_ERROR_BAD_DATABASE: security library: bad database.<br>certutil: unable to create cert (security library: bad database.)<br>ipa        
 : DEBUG    args=/usr/bin/certutil -d /tmp/tmpnq4o0Yipa/realm_info -A -n
 Server-Cert -t u,u,u -i /var/lib/ipa/ipa-mB7ivC/tmpcert.der -f /tmp/tmpnq4o0Yipa/realm_info/pwdfile.txt<br>ipa         : DEBUG    stdout=<br>ipa         : DEBUG    stderr=Notice: Trust flag u is set automatically if the private key is present.<br>certutil: could not decode certificate: SEC_ERROR_INVALID_ARGS: security library: invalid arguments.<br><br>preparation
 of replica failed: Command '/usr/bin/certutil -d 
/tmp/tmpnq4o0Yipa/realm_info -A -n Server-Cert -t u,u,u -i 
/var/lib/ipa/ipa-mB7ivC/tmpcert.der -f /tmp/tmpnq4o0Yipa/realm_info/pwdfile.txt' returned non-zero exit status 255<br>ipa        
 : DEBUG    Command '/usr/bin/certutil -d /tmp/tmpnq4o0Yipa/realm_info 
-A -n Server-Cert -t u,u,u -i /var/lib/ipa/ipa-mB7ivC/tmpcert.der -f /tmp/tmpnq4o0Yipa/realm_info/pwdfile.txt' returned non-zero exit status 255<br>  File "/usr/sbin/ipa-replica-prepare", line 490, in <module><br>    main()<br><br>  File "/usr/sbin/ipa-replica-prepare", line 361, in main<br>    export_certdb(api.env.realm, ds_dir, dir, passwd_fname, "dscert", replica_fqdn, subject_base)<br><br>  File "/usr/sbin/ipa-replica-prepare", line 150, in export_certdb<br>    raise e<br><br>Command '/usr/bin/certutil -d /tmp/tmpnq4o0Yipa/realm_info -A -n Server-Cert -t u,u,u -i /var/lib/ipa/ipa-mB7ivC/tmpcert.der -f /tmp/tmpnq4o0Yipa/realm_info/pwdfile.txt' returned non-zero exit status 255<br>  File "/usr/sbin/ipa-replica-prepare", line 490, in <module><br>    main()<br><br>  File "/usr/sbin/ipa-replica-prepare", line 361, in main<br>    export_certdb(api.env.realm, ds_dir, dir, passwd_fname, "dscert", replica_fqdn, subject_base)<br><br>  File "/usr/sbin/ipa-replica-prepare", line 150, in export_certdb<br>    raise e<br><br>```<br><br><br><br></div>I can run certutil successfully on these files:<br><br><br># certutil -L -d /var/lib/pki-ca/alias<br><br>Certificate Nickname                                         Trust Attributes<br>                                                             SSL,S/MIME,JAR/XPI<br><br>ocspSigningCert cert-pki-ca                                  u,u,u<br>subsystemCert cert-pki-ca                                    u,u,u<br>caSigningCert cert-pki-ca                                    CTu,Cu,Cu<br>Server-Cert cert-pki-ca                                      u,u,u<br>auditSigningCert cert-pki-ca                                 u,u,Pu<br><br><br><br><br></div>Any ideas?<br><br></div>Ultimately my goal is to replicate CA from freeipa-3.0.0 to freeipa >3.3<br></div>It
 was found from my ca_audit log that when the replica requested the 
cookie that the authentication failed - which prompted me to sync up the
 dm password with the pki admin password. This was suggested by edewata 
and alee --<br><br></div>Hoping someone has experienced this and has a fix.<br><br></div>Thank you!<br><br></div>Sincerely,<br><br></div>Eric Malloy<br></div>