<div dir="ltr"><span style="font-size:12.8px">Howdy!</span><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Trying to figure out how to get past the error:  Clone URI does not match available subsystems when running ipa-ca-install on new ipa server.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">A little background.  We have 3 FreeIPA 3.0.0 servers running on RHEL 6.7.  We just recently (within the last month) added a new FreeIPA 4.2 server replica running on RHEL 7.2 at a new location which will hopefully be the start of replacing all the 3.0.0 instances.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Unfortunately during the 4.2 install the --setup-ca was failing so we decided to install without it to make sure everything else worked.  And it did everything seems to be replicating properly and all is good.  </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Now its time to add the ca replication to the new server but its failing with that error. </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Command output:</div><div style="font-size:12.8px"><div># ipa-ca-install --skip-conncheck /var/lib/ipa/replica-info-new-<wbr>server.example.com.gpg</div><div>Directory Manager (existing master) password:</div><div><br></div><div>Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes 30 seconds</div><div>  [1/22]: creating certificate server user</div><div>  [2/22]: configuring certificate server instance</div><div>ipa.ipaserver.install.<wbr>cainstance.CAInstance: CRITICAL Failed to configure CA instance: Command ''/usr/sbin/pkispawn' '-s' 'CA' '-f' '/tmp/tmp7cBK9P'' returned non-zero exit status 1</div><div>ipa.ipaserver.install.<wbr>cainstance.CAInstance: CRITICAL See the installation logs and the following files/directories for more information:</div><div>ipa.ipaserver.install.<wbr>cainstance.CAInstance: CRITICAL   /var/log/pki-ca-install.log</div><div>ipa.ipaserver.install.<wbr>cainstance.CAInstance: CRITICAL   /var/log/pki/pki-tomcat</div><div>  [error] RuntimeError: CA configuration failed.</div><div><br></div><div>Your system may be partly configured.</div><div>Run /usr/sbin/ipa-server-install --uninstall to clean up.</div><div><br></div><div>CA configuration failed.</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">ipareplica-ca-install.log output:</div><div style="font-size:12.8px"><div>2016-08-17T15:25:52Z DEBUG stdout=Log file: /var/log/pki/pki-ca-spawn.<wbr>20160817092533.log</div><div>Loading deployment configuration from /tmp/tmp7cBK9P.</div><div>Installing CA into /var/lib/pki/pki-tomcat.</div><div>Storing deployment configuration into /etc/sysconfig/pki/tomcat/pki-<wbr>tomcat/ca/deployment.cfg.</div><div><br></div><div>Installation failed.</div><div><br></div><div><br></div><div>2016-08-17T15:25:52Z DEBUG stderr=/usr/lib/python2.7/<wbr>site-packages/urllib3/<wbr>connectionpool.py:769: InsecureRequestWarning: Unverified HTT</div><div>PS request is being made. Adding certificate verification is strongly advised. See: <a href="https://urllib3.readthedocs.org/en/latest/security.h" target="_blank">https://urllib3.readthedocs.<wbr>org/en/latest/security.h</a></div><div>tml</div><div>  InsecureRequestWarning)</div><div>pkispawn    : WARNING  ....... unable to validate security domain user/password through REST interface. Interface not available</div><div>pkispawn    : ERROR    ....... Exception from Java Configuration Servlet: 400 Client Error: Bad Request</div><div>pkispawn    : ERROR    ....... ParseError: not well-formed (invalid token): line 1, column 0: {"Attributes":{"Attribute":[]}<wbr>,"ClassName"</div><div>:"com.netscape.certsrv.base.<wbr>BadRequestException","Code":<wbr>400,"Message":"Clone URI does not match available subsystems: <a href="https://master.idm.example.com/" target="_blank">https://master.idm.example.<wbr>com:443</a>"}</div><div><br></div><div>2016-08-17T15:25:52Z CRITICAL Failed to configure CA instance: Command ''/usr/sbin/pkispawn' '-s' 'CA' '-f' '/tmp/tmp7cBK9P'' returned n</div><div>on-zero exit status 1</div><div>2016-08-17T15:25:52Z CRITICAL See the installation logs and the following files/directories for more information:</div><div>2016-08-17T15:25:52Z CRITICAL   /var/log/pki-ca-install.log</div><div>2016-08-17T15:25:52Z CRITICAL   /var/log/pki/pki-tomcat</div><div>2016-08-17T15:25:52Z DEBUG Traceback (most recent call last):</div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>service.py", line 418, in start_creation</div><div>    run_step(full_msg, method)</div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>service.py", line 408, in run_step</div><div>    method()</div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>cainstance.py", line 622, in __spawn_instance</div><div>    DogtagInstance.spawn_instance(<wbr>self, cfg_file)</div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>dogtaginstance.py", line 201, in spawn_instance</div><div>    self.handle_setup_error(e)</div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>dogtaginstance.py", line 465, in handle_setup_error</div><div>    raise RuntimeError("%s configuration failed." % self.subsystem)</div><div>RuntimeError: CA configuration failed.</div><div><br></div><div>2016-08-17T15:25:52Z DEBUG   [error] RuntimeError: CA configuration failed.</div><div>2016-08-17T15:25:52Z DEBUG   File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>installutils.py", line 732, in run_script</div><div>    return_value = main_function()</div><div><br></div><div>  File "/sbin/ipa-ca-install", line 202, in main</div><div>    install_replica(safe_options, options, filename)</div><div><br></div><div>  File "/sbin/ipa-ca-install", line 150, in install_replica</div><div>    ca.install(True, config, options)</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/ca.<wbr>py", line 114, in install</div><div>    install_step_0(standalone, replica_config, options)</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/ca.<wbr>py", line 138, in install_step_0</div><div>    ra_p12=getattr(options, 'ra_p12', None))</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>cainstance.py", line 1545, in install_replica_ca</div><div>    subject_base=config.subject_<wbr>base)</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>cainstance.py", line 488, in configure_instance</div><div>    self.start_creation(runtime=<wbr>210)</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>service.py", line 418, in start_creation</div><div>    run_step(full_msg, method)</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>service.py", line 408, in run_step</div><div>    method()</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>cainstance.py", line 622, in __spawn_instance</div><div>    DogtagInstance.spawn_instance(<wbr>self, cfg_file)</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>dogtaginstance.py", line 201, in spawn_instance</div><div>    self.handle_setup_error(e)</div><div><br></div><div>  File "/usr/lib/python2.7/site-<wbr>packages/ipaserver/install/<wbr>dogtaginstance.py", line 465, in handle_setup_error</div><div>    raise RuntimeError("%s configuration failed." % self.subsystem)</div><div><br></div><div>2016-08-17T15:25:52Z DEBUG The ipa-ca-install command failed, exception: RuntimeError: CA configuration failed.</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">****</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I've tried running the pkispawn command manually by using the deployment.cfg file but it gives the same error:</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><div># pkidestroy -s CA -i pki-tomcat</div><div>Log file: /var/log/pki/pki-ca-destroy.<wbr>20160817093402.log</div><div>Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/<wbr>registry/ca/deployment.cfg.</div><div>Uninstalling CA from /var/lib/pki/pki-tomcat.</div><div>pkidestroy  : WARNING  ....... this 'CA' entry will NOT be deleted from security domain 'unknown'!</div><div>pkidestroy  : ERROR    ....... No security domain defined.</div><div>If this is an unconfigured instance, then that is OK.</div><div>Otherwise, manually delete the entry from the security domain master.</div><div><br></div><div>Uninstallation complete.</div><div><br></div><div># /usr/sbin/pkispawn -s CA -f /tmp/replica_file</div><div>Log file: /var/log/pki/pki-ca-spawn.<wbr>20160817093444.log</div><div>Loading deployment configuration from /tmp/replica_file.</div><div>/usr/lib/python2.7/site-<wbr>packages/urllib3/<wbr>connectionpool.py:769: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: <a href="https://urllib3.readthedocs.org/en/latest/security.html" target="_blank">https://urllib3.readthedocs.<wbr>org/en/latest/security.html</a></div><div>  InsecureRequestWarning)</div><div>pkispawn    : WARNING  ....... unable to validate security domain user/password through REST interface. Interface not available</div><div>Installing CA into /var/lib/pki/pki-tomcat.</div><div>Storing deployment configuration into /etc/sysconfig/pki/tomcat/pki-<wbr>tomcat/ca/deployment.cfg.</div><div>pkispawn    : ERROR    ....... Exception from Java Configuration Servlet: 400 Client Error: Bad Request</div><div>pkispawn    : ERROR    ....... ParseError: not well-formed (invalid token): line 1, column 0: {"Attributes":{"Attribute":[]}<wbr>,"ClassName":"com.netscape.<wbr>certsrv.base.<wbr>BadRequestException","Code":<wbr>400,"Message":"Clone URI does not match available subsystems: <a href="https://master.idm.example.com/" target="_blank">https://master.idm.example.<wbr>com:443</a>"}</div><div><br></div><div>Installation failed.</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Any ideas on how to proceed would be much appreciated!</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Thanks!</div><div style="font-size:12.8px">-John</div><div class="" style="margin:2px 0px 0px;font-size:12.8px"></div></div>