<div dir="ltr">Hello everyone,<div><br></div><div>I've been banging my head against the wall for a few days now trying to resolve an issue with PKI and I'm hoping I might get some help.  First some context.<br><br>About a week ago I was alerted that all of our replicas were offline due to pki-tomcatd not starting.  Futher investigation determined that all of the pki certs had expired two days earlier.  I turned back time and successfully updated the certs and certmonger updated the rest of the replicas.<br><br>Now I'm seeing the following symptoms:<br>1.  Searching certificates via the web UI will display certificate info.<br>2.  Attemping to view certificate details results in an "IPA Error 4301: CertificateOperationError" the exception being "Invalid Credential.".<br></div><div>3.  Issuing the ipa cert-show command results in the same "Invalid Credential." exception.<br>4.  PKI debug log shows:  SignedAuditEventFactory: create() message=[AuditEvent=AUTH_FAIL][SubjectID=$Unidentified$][Outcome=Failure][AuthMgr=certUserDBAuthMgr][AttemptedCred=CN=IPA RA,O=<a href="http://DOMAIN.COM">DOMAIN.COM</a>] authentication failure<br>5.  PKI system log shows: Cannot authenticate agent with certificate Serial 0x123456789 Subject DN CN=IPA RA,O=<a href="http://DOMAIN.COM">DOMAIN.COM</a>. Error: User not found.<br><br><br>In trolling this list I've done the following things troubleshooting:<br><br>1.  Ensured the certs being monitored by certmonger are correct.<br>2.  Ensured the certs in the http and pki-tomcat NSS databases are as expected.</div><div>3.  Ensured the uid=ipara,ou=people,o=ipaca object has the correct description and cert (it had the wrong serialnumber in the description but i've updated that).<br>4.  Ensured the CS.cfg has the correct certs (it did).</div><div><br></div><div>Any suggestions or assistance would be apprecitated.<br><br>Thanks!<br>Sam</div></div>