<div dir="ltr">hi,<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 3, 2016 at 5:32 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
usercertificate is a multi-valued LDAP attribute but IPA 3.0 only really operates on the "first" value returned (I didn't look at more recent versions). In this case it is the 267976717 cert. The other certs shown without details are for the other serial numbers that cert-find is reporting</blockquote><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I can't see a way that this first usercertificate value isn't revoked and removed upon renewal so I can't quite figure out how you got into this state (and so easily as I understand it). I wasn't able to reproduce it myself. Do you have any idea how wide-spread this is in your infrastructure?<br>
<br>
I can see that once in this state that any "extra" certs would just be stuck there, never to be revoked.<span class="HOEnZb"><font color="#888888"></font></span><br clear="all"></blockquote></div><br></div><div class="gmail_extra">This is happening all over the place.<br><br></div><div class="gmail_extra">I guess I will have to script this: retrieve the usercertificate attribute of the host computers, get their 'not before/not after' and serial number values, and revoke the oldest valid ones in case there is more than one valid one. This should not be very hard.<br><br><br></div><div class="gmail_extra">I need to monitor the certmonger status as well, a nagios plugin should do the trick.<br></div><div class="gmail_extra"><br><div class="gmail_signature" data-smartmail="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div></div>