<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Sep 12, 2015 at 9:43 AM, Natxo Asenjo <span dir="ltr"><<a href="mailto:natxo.asenjo@gmail.com" target="_blank">natxo.asenjo@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><div>hi,<br><br></div>In a test network I followed the procedure especified in <a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/migrating-ipa-proc.html" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/migrating-ipa-proc.html</a> to migrate from a centos 6.7 ipa server to a new centos 7 ipa server.<br><br></div>Everything went fine, I shutdown the centos 6.7 host and i can kinit to the test realm like before with everything being handled by the centos 7.1 ipa server.<br><br></div>Unfortunately, firefox is not loading the web ui with the message:<br><br clear="all"><div><div><div><div>An error occurred during a connection to kdc2.unix.domain.tld. The OCSP server experienced an internal error. (Error code: sec_error_ocsp_server_error) <br><br><br></div><div>Chrome works fine, it does not query the ocsp responder apparently. If I turn off the ocsp queries in firefox, everything works.<br><br></div><div>So how can I troubleshoot this? I have turned off the firewall in the centos 7.1 hosts, selinux is permissive.<br></div></div></div></div></div></blockquote><div><br></div><div>ok, so I found something:<br><br> $ openssl s_client -connect kdc2.unix.domain.tld:443 | openssl x509 -noout -text | grep -i ocsp<br>                OCSP - URI:<a href="http://kdc1.unix.domain.tld:80/ca/ocsp">http://kdc1.unix.domain.tld:80/ca/ocsp</a><br></div></div><br clear="all"></div><div class="gmail_extra">so it's pointing to the centos 6.7 box, and that one is gone. That's why it's not working.<br><br></div><div class="gmail_extra">Shouldn't the certificates be modified or recreated when decommissioning replicas? I must have done something wrong when decommissioning the server ...<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Anyway, I created an A record for kdc1 pointing to kdc2 and now it's working, but I wonder if this is the 'right' approach.<br><br><br></div><div class="gmail_extra">-- <br><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div>