<div dir="ltr"><div>Yes the cert is correct.  The userCertificate field matches the output of "certutil -L -d /etc/httpd/alias/ -n ipaCert -a" with the header and footer removed, and the serial number matches as well albeit in decimal instead of hex.<br><br># ipara, people, ipaca</div><div>dn: uid=ipara,ou=people,o=ipaca</div><div>description: 2;4886718345;CN=Certificate Authority,O=<a href="http://DOMAIN.COM">DOMAIN.COM</a>;</div><div> CN=IPA RA, O=<a href="http://DOMAIN.COM">DOMAIN.COM</a></div><div>userCertificate:: <cert here><br>userstate: 1</div><div>uid: ipara</div><div>sn: ipara</div><div>usertype: agentType</div><div>objectClass: top</div><div>objectClass: person</div><div>objectClass: organizationalPerson</div><div>objectClass: inetOrgPerson</div><div>objectClass: cmsuser</div><div>cn: ipara</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 23, 2016 at 4:31 PM, Petr Vobornik <span dir="ltr"><<a href="mailto:pvoborni@redhat.com" target="_blank">pvoborni@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 03/23/2016 03:50 PM, Sam James wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hello everyone,<br>
<br>
I've been banging my head against the wall for a few days now trying to resolve<br>
an issue with PKI and I'm hoping I might get some help.  First some context.<br>
<br>
About a week ago I was alerted that all of our replicas were offline due to<br>
pki-tomcatd not starting.  Futher investigation determined that all of the pki<br>
certs had expired two days earlier.  I turned back time and successfully updated<br>
the certs and certmonger updated the rest of the replicas.<br>
<br>
Now I'm seeing the following symptoms:<br>
1.  Searching certificates via the web UI will display certificate info.<br>
2.  Attemping to view certificate details results in an "IPA Error 4301:<br>
CertificateOperationError" the exception being "Invalid Credential.".<br>
3.  Issuing the ipa cert-show command results in the same "Invalid Credential."<br>
exception.<br>
4.  PKI debug log shows:  SignedAuditEventFactory: create()<br>
message=[AuditEvent=AUTH_FAIL][SubjectID=$Unidentified$][Outcome=Failure][AuthMgr=certUserDBAuthMgr][AttemptedCred=CN=IPA<br></span>
RA,O=<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">DOMAIN.COM</a> <<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">http://DOMAIN.COM</a>>] authentication failure<span class=""><br>
5.  PKI system log shows: Cannot authenticate agent with certificate Serial<br></span>
0x123456789 Subject DN CN=IPA RA,O=<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">DOMAIN.COM</a> <<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">http://DOMAIN.COM</a>>. Error: User<br>
not found.<br>
</blockquote>
<br>
PKI has some build-in accounts which uses certificates for authentication. It matches a user by a certificate. The error above means that it cannot find any user for cert with serial no 0x123456789<br>
<br>
So the possible cause is the user you checked (uid=ipara,ou=people,o=ipaca) has still old cert. I.e. you've updated description, but is the cert correct?<div class="HOEnZb"><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
In trolling this list I've done the following things troubleshooting:<br>
<br>
1.  Ensured the certs being monitored by certmonger are correct.<br>
2.  Ensured the certs in the http and pki-tomcat NSS databases are as expected.<br>
3.  Ensured the uid=ipara,ou=people,o=ipaca object has the correct description<br>
and cert (it had the wrong serialnumber in the description but i've updated that).<br>
4.  Ensured the CS.cfg has the correct certs (it did).<br>
<br>
Any suggestions or assistance would be apprecitated.<br>
<br>
Thanks!<br>
Sam<br>
<br>
</blockquote></div></div><span class="HOEnZb"><font color="#888888">
-- <br>
Petr Vobornik<br>
</font></span></blockquote></div><br></div>