<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">I am new to FreeIPA and have inherited two IPA servers not sure if one is a master/slave or how they are different. I will try to give some pertinent outputs below of some of the things I am seeing. I know the Server-Cert is expired but
can’t figure out how to renew it. There also appears to be Kerberos authentication issues going on as I’m trying to fix it.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#getcert list -d /etc/httpd/alias -n ipaCert<o:p></o:p></p>
<p class="MsoNormal">Number of certificates and requests being tracked: 2.<o:p></o:p></p>
<p class="MsoNormal">Request ID '20150922143354':<o:p></o:p></p>
<p class="MsoNormal"> status: NEED_TO_SUBMIT<o:p></o:p></p>
<p class="MsoNormal"> stuck: no<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='ipaCert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/etc/httpd/alias',nickname='ipaCert',token='NSS Certificate DB'<o:p></o:p></p>
<p class="MsoNormal"> CA: dogtag-ipa-retrieve-agent-submit<o:p></o:p></p>
<p class="MsoNormal"> issuer: CN=Certificate Authority,O=<example>.GOV<o:p></o:p></p>
<p class="MsoNormal"> subject: CN=IPA RA,O=<example>.GOV<o:p></o:p></p>
<p class="MsoNormal"> expires: 2013-10-09 11:45:01 UTC<o:p></o:p></p>
<p class="MsoNormal"> key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment<o:p></o:p></p>
<p class="MsoNormal"> eku: id-kp-serverAuth,id-kp-clientAuth<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command: /usr/lib64/ipa/certmonger/restart_httpd<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#certutil -V -u V -n Server-Cert -d /etc/httpd/alias<o:p></o:p></p>
<p class="MsoNormal">certutil: certificate is invalid: Peer's Certificate has expired.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#certutil -L -d /etc/httpd/alias -n Server-Cert<o:p></o:p></p>
<p class="MsoNormal">Certificate:<o:p></o:p></p>
<p class="MsoNormal"> Data:<o:p></o:p></p>
<p class="MsoNormal"> Version: 3 (0x2)<o:p></o:p></p>
<p class="MsoNormal"> Serial Number: 166 (0xa6)<o:p></o:p></p>
<p class="MsoNormal"> Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption<o:p></o:p></p>
<p class="MsoNormal"> Issuer: "CN=Certificate Authority,O=<example>.GOV"<o:p></o:p></p>
<p class="MsoNormal"> Validity:<o:p></o:p></p>
<p class="MsoNormal"> Not Before: Sun Sep 22 17:46:26 2013<o:p></o:p></p>
<p class="MsoNormal"> Not After : Wed Sep 23 17:46:26 2015<o:p></o:p></p>
<p class="MsoNormal"> Subject: "CN=comipa02.<example>.gov,O=<example>.GOV"<o:p></o:p></p>
<p class="MsoNormal"> Subject Public Key Info:<o:p></o:p></p>
<p class="MsoNormal"> Public Key Algorithm: PKCS #1 RSA Encryption<o:p></o:p></p>
<p class="MsoNormal"> RSA Public Key:<o:p></o:p></p>
<p class="MsoNormal"> Modulus:<o:p></o:p></p>
<p class="MsoNormal"> c6:8e:37:ee:72:82:58:78:4e:16:b8:18:f3:28:05:d9:<o:p></o:p></p>
<p class="MsoNormal"> e5:3c:ee:01:ec:3e:28:d5:87:be:e4:74:ec:e5:27:40:<o:p></o:p></p>
<p class="MsoNormal"> ca:9c:eb:61:a2:ad:44:c0:d9:2e:6d:93:fd:67:4c:f8:<o:p></o:p></p>
<p class="MsoNormal"> 6d:f6:f2:63:6f:e6:00:4a:2a:c4:44:f5:e7:32:50:40:<o:p></o:p></p>
<p class="MsoNormal"> 51:5b:0e:15:69:25:ef:c9:4f:47:ad:ba:90:fb:36:6d:<o:p></o:p></p>
<p class="MsoNormal"> 14:3f:04:c4:7b:c3:e6:b1:30:7b:56:2d:d3:0f:d9:2f:<o:p></o:p></p>
<p class="MsoNormal"> c9:57:89:c7:21:8a:a6:d4:2a:63:27:6c:54:53:7b:44:<o:p></o:p></p>
<p class="MsoNormal"> 9a:0b:da:8f:b9:88:ec:b4:95:d3:5c:6c:cf:7b:dc:30:<o:p></o:p></p>
<p class="MsoNormal"> ef:25:db:fd:89:26:7f:25:34:9d:6e:7b:b0:94:62:81:<o:p></o:p></p>
<p class="MsoNormal"> 0e:b8:d6:3e:95:0e:71:e2:3f:6b:e2:3d:f2:71:8d:4c:<o:p></o:p></p>
<p class="MsoNormal"> ec:41:e2:fa:c7:8b:50:80:90:68:a8:88:5c:07:c6:cc:<o:p></o:p></p>
<p class="MsoNormal"> 5a:48:fc:7f:37:28:78:b3:2e:79:05:73:a5:9d:75:ae:<o:p></o:p></p>
<p class="MsoNormal"> 15:bc:55:6c:85:ab:cd:2e:44:6b:10:c2:25:d8:bb:03:<o:p></o:p></p>
<p class="MsoNormal"> 11:3f:69:44:3e:1c:ba:a3:c9:fa:36:ae:a6:6e:f4:51:<o:p></o:p></p>
<p class="MsoNormal"> a0:74:ff:e9:31:40:51:69:d2:49:47:a8:38:7a:9b:b8:<o:p></o:p></p>
<p class="MsoNormal"> 32:04:4c:ad:6d:52:91:53:61:a3:fa:37:82:f4:38:cb<o:p></o:p></p>
<p class="MsoNormal"> Exponent: 65537 (0x10001)<o:p></o:p></p>
<p class="MsoNormal"> Signed Extensions:<o:p></o:p></p>
<p class="MsoNormal"> Name: Certificate Authority Key Identifier<o:p></o:p></p>
<p class="MsoNormal"> Key ID:<o:p></o:p></p>
<p class="MsoNormal"> ab:01:f6:f0:b1:f6:58:15:f9:0d:e6:35:83:44:ab:50:<o:p></o:p></p>
<p class="MsoNormal"> c3:13:4b:16<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Name: Authority Information Access<o:p></o:p></p>
<p class="MsoNormal"> Method: PKIX Online Certificate Status Protocol<o:p></o:p></p>
<p class="MsoNormal"> Location:<o:p></o:p></p>
<p class="MsoNormal"> URI: "http://comipa01.<example>.gov:80/ca/ocsp"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Name: Certificate Key Usage<o:p></o:p></p>
<p class="MsoNormal"> Critical: True<o:p></o:p></p>
<p class="MsoNormal"> Usages: Digital Signature<o:p></o:p></p>
<p class="MsoNormal"> Non-Repudiation<o:p></o:p></p>
<p class="MsoNormal"> Key Encipherment<o:p></o:p></p>
<p class="MsoNormal"> Data Encipherment<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Name: Extended Key Usage<o:p></o:p></p>
<p class="MsoNormal"> TLS Web Server Authentication Certificate<o:p></o:p></p>
<p class="MsoNormal"> TLS Web Client Authentication Certificate<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption<o:p></o:p></p>
<p class="MsoNormal"> Signature:<o:p></o:p></p>
<p class="MsoNormal"> 2d:e0:48:99:ca:e8:e3:33:40:de:9b:a9:bf:a0:37:98:<o:p></o:p></p>
<p class="MsoNormal"> d3:22:f7:d5:ff:a6:2b:fd:b3:fc:c8:c3:f0:16:ee:a5:<o:p></o:p></p>
<p class="MsoNormal"> 44:5a:8d:d8:eb:eb:56:08:95:3e:48:2d:a1:be:a0:c2:<o:p></o:p></p>
<p class="MsoNormal"> 64:a3:55:62:ab:42:3b:e6:ff:90:3e:0f:a2:59:2a:7a:<o:p></o:p></p>
<p class="MsoNormal"> c0:f3:81:bb:6d:27:6a:1d:12:41:89:cb:fc:cf:5d:fa:<o:p></o:p></p>
<p class="MsoNormal"> b5:f6:6d:b9:1a:b8:fb:cc:84:3c:5d:98:da:79:64:07:<o:p></o:p></p>
<p class="MsoNormal"> 6f:c0:d1:9d:8a:e1:03:70:71:87:39:f6:fc:a0:4a:a2:<o:p></o:p></p>
<p class="MsoNormal"> 43:57:0a:dc:33:6b:f4:4e:be:0a:5b:26:83:eb:e3:57:<o:p></o:p></p>
<p class="MsoNormal"> ad:aa:5c:d4:f7:1f:0d:38:f2:71:85:b0:27:9c:8e:57:<o:p></o:p></p>
<p class="MsoNormal"> 01:51:b5:e8:e7:a4:9f:a0:0b:bd:96:45:ac:30:86:d5:<o:p></o:p></p>
<p class="MsoNormal"> b8:78:56:5e:29:3e:70:9d:80:b0:25:50:fc:c6:e1:a7:<o:p></o:p></p>
<p class="MsoNormal"> 0a:1c:e9:da:1d:00:1f:53:9b:fd:9b:a9:74:1b:45:8f:<o:p></o:p></p>
<p class="MsoNormal"> 7d:f0:c4:cc:ff:ae:1f:0f:3e:2d:8f:81:80:ee:27:38:<o:p></o:p></p>
<p class="MsoNormal"> f6:5b:39:b4:54:7c:56:c5:b4:0e:93:b8:24:18:42:70:<o:p></o:p></p>
<p class="MsoNormal"> 5d:d3:7b:c9:db:be:14:22:1c:29:16:84:ab:4d:05:b0:<o:p></o:p></p>
<p class="MsoNormal"> 7b:1b:7d:e4:94:0d:39:42:71:33:94:57:16:7b:90:6f<o:p></o:p></p>
<p class="MsoNormal"> Fingerprint (SHA-256):<o:p></o:p></p>
<p class="MsoNormal"> DD:B0:8E:6B:5F:61:D1:7C:29:ED:CB:8C:8D:7E:9F:94:BE:40:E7:8B:AD:55:ED:14:E9:32:C4:7A:F0:0A:F3:2C<o:p></o:p></p>
<p class="MsoNormal"> Fingerprint (SHA1):<o:p></o:p></p>
<p class="MsoNormal"> 88:51:F1:8F:3A:BD:7E:24:0D:4D:4A:CE:94:FB:A9:75:14:82:58:FA<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Certificate Trust Flags:<o:p></o:p></p>
<p class="MsoNormal"> SSL Flags:<o:p></o:p></p>
<p class="MsoNormal"> User<o:p></o:p></p>
<p class="MsoNormal"> Email Flags:<o:p></o:p></p>
<p class="MsoNormal"> User<o:p></o:p></p>
<p class="MsoNormal"> Object Signing Flags:<o:p></o:p></p>
<p class="MsoNormal"> User<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#ipa-getkeytab -s compia02.itmodev.gov -p host/comipa02.itmodev.gov -k /etc/krb5.keytab<o:p></o:p></p>
<p class="MsoNormal">Kerberos User Principal not found. Do you have a valid Credential Cache?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#ipa-getcert list<o:p></o:p></p>
<p class="MsoNormal">Number of certificates and requests being tracked: 2.<o:p></o:p></p>
<p class="MsoNormal">Request ID '20151007150853':<o:p></o:p></p>
<p class="MsoNormal"> status: NEWLY_ADDED_NEED_KEYINFO_READ_PIN<o:p></o:p></p>
<p class="MsoNormal"> stuck: yes<o:p></o:p></p>
<p class="MsoNormal"> key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert'<o:p></o:p></p>
<p class="MsoNormal"> certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert'<o:p></o:p></p>
<p class="MsoNormal"> CA: IPA<o:p></o:p></p>
<p class="MsoNormal"> issuer:<o:p></o:p></p>
<p class="MsoNormal"> subject:<o:p></o:p></p>
<p class="MsoNormal"> expires: unknown<o:p></o:p></p>
<p class="MsoNormal"> pre-save command:<o:p></o:p></p>
<p class="MsoNormal"> post-save command:<o:p></o:p></p>
<p class="MsoNormal"> track: yes<o:p></o:p></p>
<p class="MsoNormal"> auto-renew: yes<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">V/r<o:p></o:p></p>
<p class="MsoNormal">Chris <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>