<div dir="ltr"><div>Hello list,</div><div><br></div><div>I'm currently attempting to add a second CA server to our IPA cluster (all servers Centos 7.2 with IPA 4.2.0). However, it is failing no matter how I try to setup the CA (ipa-replica-install with --setup-ca or ipa-replica-install followed by ipa-ca-install). The only useful thing in the logs is an error about a missing key for "trust_flags" in the pki setup. Our infrastructure uses FreeIPA with an external CA.</div><div><br></div><div>Any ideas/help would be greatly appreciated. Here are the logs snips from my most recent attempt:</div><div><br></div><div>Command output snip from "ipa-replica-install /root/replica-info-auth-002.XXX.gpg --setup-ca"</div><div>Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes 30 seconds</div><div>  [1/24]: creating certificate server user</div><div>  [2/24]: configuring certificate server instance</div><div>ipa.ipaserver.install.cainstance.CAInstance: CRITICAL Failed to configure CA instance: Command ''/usr/sbin/pkispawn' '-s' 'CA' '-f' '/tmp/tmpYofMPt'' returned non-zero exit status 1</div><div>ipa.ipaserver.install.cainstance.CAInstance: CRITICAL See the installation logs and the following files/directories for more information:</div><div>ipa.ipaserver.install.cainstance.CAInstance: CRITICAL   /var/log/pki-ca-install.log</div><div>ipa.ipaserver.install.cainstance.CAInstance: CRITICAL   /var/log/pki/pki-tomcat</div><div>  [error] RuntimeError: CA configuration failed.</div><div>Your system may be partly configured.</div><div>Run /usr/sbin/ipa-server-install --uninstall to clean up.</div><div><br></div><div>ipa.ipapython.install.cli.install_tool(Replica): ERROR    CA configuration failed</div><div><br></div><div><br></div><div>Log snip from ipareplica-install.log:</div><div><br></div><div>2016-09-20T23:42:27Z DEBUG Starting external process</div><div>2016-09-20T23:42:27Z DEBUG args='/usr/sbin/pkispawn' '-s' 'CA' '-f' '/tmp/tmpYofMPt'</div><div>2016-09-20T23:42:31Z DEBUG Process finished, return code=1</div><div>2016-09-20T23:42:31Z DEBUG stdout=Log file: /var/log/pki/pki-ca-spawn.20160920234227.log</div><div>Loading deployment configuration from /tmp/tmpYofMPt.</div><div>Installing CA into /var/lib/pki/pki-tomcat.</div><div>Storing deployment configuration into /etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg.</div><div><br></div><div>Installation failed.</div><div><br></div><div><br></div><div>2016-09-20T23:42:31Z DEBUG stderr=/usr/lib/python2.7/site-packages/urllib3/connectionpool.py:769: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: <a href="https://urllib3.readthedocs.org/en/latest/security.html">https://urllib3.readthedocs.org/en/latest/security.html</a></div><div>  InsecureRequestWarning)</div><div>Traceback (most recent call last):</div><div>  File "/bin/pki", line 254, in <module></div><div>    cli.execute(sys.argv)</div><div>  File "/bin/pki", line 240, in execute</div><div>    module.execute(module_args)</div><div>  File "/usr/lib/python2.7/site-packages/pki/cli/__init__.py", line 195, in execute</div><div>    module.execute(module_args)</div><div>  File "/usr/lib/python2.7/site-packages/pki/cli/pkcs12.py", line 222, in execute</div><div>    trust_flags = cert_info['trust_flags']</div><div>KeyError: 'trust_flags'</div><div><br></div><div><br></div><div>-- <br></div><div class="gmail_signature">Korey</div>
</div>