<div dir="ltr">great that explains a lot! Thank you.<div><br></div><div>My hunt for > 4.2.0 was just because in the release note for 4.2.1 it had:</div><div><ul style="padding:0px;margin:0.3em 0px 0px 1.6em;color:rgb(46,52,54);font-family:'Source Sans Pro',sans-serif;font-size:14px;line-height:20px"><li>Various fixes for new Certificates Profiles feature</li></ul><div><br></div></div><div>So I immediately assumed the problem I might be experiencing could be fixed by an upgrade (I have tried everything else I know)</div><div><br></div><div>But thank you this is already very helpful.</div><div><br></div><div>I hope I can find some other pointed to understand my issue then.</div><div><br></div><div>Regards</div><div>Alessandro</div><div><br></div><div><font color="#2e3436" face="Source Sans Pro, sans-serif"><span style="font-size:14px;line-height:20px"><br></span></font></div><div><font color="#2e3436" face="Source Sans Pro, sans-serif"><span style="font-size:14px;line-height:20px"><br></span></font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 27 February 2016 at 21:25, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sat, 27 Feb 2016, Alessandro De Maria wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hello list,<br>
<br>
I was running freeipa 4.1 on Centos 7.1.<br>
I wanted to upgrade to freeipa 4.2.x to make use of user certificates.<br>
<br>
Upgrade (through yum upgrade) went ok and I am now on version:<br>
Name        : ipa-server<br>
Version     : 4.2.0<br>
Release     : 15.el7_2.6<br>
<br>
<br>
However I am unable to generate new certificates (this functionality was<br>
working perfectly before)<br>
<br>
When I use ipa-getcert request I get the following message (ipa-getcert<br>
list)<br>
<br></span>
*Failed request, will retry: 4001 (RPC failed at server. caIPAserviceCert:<br>
Certificate Profile not found*<span class=""><br>
I read this blog:<br>
<a href="https://blog-ftweedal.rhcloud.com/2015/08/user-certificates-and-custom-profiles-with-freeipa-4-2/" rel="noreferrer" target="_blank">https://blog-ftweedal.rhcloud.com/2015/08/user-certificates-and-custom-profiles-with-freeipa-4-2/</a><br>
<br>
I tried the following:<br>
$ ipa certprofile-show caIPAserviceCert<br>
ipa: ERROR: caIPAserviceCert: Certificate Profile not found<br>
<br>
<br></span>
So i tried to download *caIPAserviceCert* from this url and importing it:<span class=""><br>
<br>
$ wget<br>
<a href="https://raw.githubusercontent.com/encukou/freeipa/master/install/share/profiles/caIPAserviceCert.cfg" rel="noreferrer" target="_blank">https://raw.githubusercontent.com/encukou/freeipa/master/install/share/profiles/caIPAserviceCert.cfg</a><br>
<br>
$ ipa certprofile-import caIPAserviceCert --file caIPAserviceCert.cfg<br>
--desc "Default certificates" --store TRUE<br>
ipa: ERROR: Non-2xx response from CA REST API: 400 Bad Request. Profile<br>
already exists<br>
<br>
So I imported it with another profile name (caIPAserviceCert_new) and that<br>
worked (I can see it from the web interface, but I cannot see caIPAserviceCert<br>
there)<br>
<br>
I tried to use:<br>
ipa-getcert request -T caIPAserviceCert_new  ... ... ...<br>
<br>
and that still gives the the infamous message above:<br></span>
*Failed request, will retry: 4001 (RPC failed at server. caIPAserviceCert:<br>
Certificate Profile not found*<span class=""><br>
<br>
Could someone help me out please? I noticed that 4.2.3 is out with<br>
important bug fixes, is there a repository out there with Centos rmps?<br>
</span></blockquote>
I have no comments to your problem but wanted to comment on this<br>
specific thing:<br>
<br>
When certain software is packaged as part of Red Hat Enterprise Linux,<br>
there are rules its maintainers have to follow. One of these rules is to<br>
be more strict with rebases and package versions. <br>
When a rebase to newer version is not granted, any bugfixes/updates will<br>
be managed as patches to the base version. This means that if you see<br>
ipa-server-4.2.0-<something>.el7_2 in RHEL 7.2, this does not mean that<br>
a particular package has only FreeIPA 4.2.0 version. It includes a<br>
number of patches on top of it which make it equal to a certain 4.2.x<br>
version at the time of a release of that package. These patches will<br>
have to be carried as separate files until next package rebase.<br>
<br>
For example ipa-4.2.0-15.el7.centos.3.src.rpm has 170 patches on top of<br>
4.2.0 tarball. Some of these are downstream-specific like branding<br>
changes but the rest are patches on top of 4.2.0 upstream version that<br>
bring the package close to 4.2.3.<br>
<br>
This allows to be more explicit in what is added on top of a base<br>
version and some Red Hat customers actually depend on such information<br>
in their own software management processes. For maintainers this, of<br>
course, creates a bit of overhead but it is better to be more explicit<br>
here. The only inconvenience is that we have to explain the process<br>
sometimes to people like you who think 4.2.0-<something>.el7_2 is older<br>
than 4.2.3 upstream release.<br>
<br>
In fact, out of those 170 patches, there are patches which went into<br>
upstream 4.3.0 release and weren't yet released in 4.2.x branch because<br>
there wasn't any 4.2.x release after 4.2.3 yet. So in the case of<br>
4.2.0-<something>.el7_2 you are actually getting more than FreeIPA<br>
4.2.3.<br>
<br>
I hope this makes your hunt for '4.2.3' CentOS release less urgent.<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Alessandro De Maria<br><a href="mailto:alessandro.demaria@gmail.com" target="_blank">alessandro.demaria@gmail.com</a></div>
</div>