<div dir="ltr">Can confirm nss.conf has NSSNickname set to Signing-Cert.<div><br></div><div>I set the nickname of the Root CA issuing the 3rd party Certs to "LetsEncrypt_X1"</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 12, 2016 at 10:57 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Joshua Ruybal wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hi,<br>
<br>
I'm trying to add 3rd party certs for the webgui and ldap as documented<br>
here: <a href="https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP" rel="noreferrer" target="_blank">https://www.freeipa.org/page/U<wbr>sing_3rd_part_certificates_for<wbr>_HTTP/LDAP</a><br>
<br>
I'm able to add the CA cert.<br>
<br>
Then add the chained cert and key via ipa-server-certinstall tool.<br>
However when I try to restart httpd, it fails and I get the following<br>
error in the logs.<br>
<br>
<br>
[Wed Oct 12 12:45:47.<a href="tel:760525%202016" value="+17605252016" target="_blank">760525 2016</a>] [suexec:notice] [pid 2598] AH01232:<br>
suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)<br>
[Wed Oct 12 12:45:47.<a href="tel:760648%202016" value="+17606482016" target="_blank">760648 2016</a>] [ssl:warn] [pid 2598] AH01916: Init:<br></span>
(<a href="http://ipa-test.example.com:443" rel="noreferrer" target="_blank">ipa-test.example.com:443</a> <<a href="http://ipa-test.example.com:443" rel="noreferrer" target="_blank">http://ipa-test.example.com:4<wbr>43</a>>) You<span class=""><br>
configured HTTP(80) on the standard HTTPS(443) port!<br>
[Wed Oct 12 12:45:47.<a href="tel:760683%202016" value="+17606832016" target="_blank">760683 2016</a>] [:warn] [pid 2598]<br>
NSSSessionCacheTimeout is deprecated. Ignoring.<br>
[Wed Oct 12 12:45:47.<a href="tel:940329%202016" value="+19403292016" target="_blank">940329 2016</a>] [:error] [pid 2598] SSL Library Error:<br>
-8102 Certificate key usage inadequate for attempted operation.<br>
[Wed Oct 12 12:45:47.<a href="tel:940367%202016" value="+19403672016" target="_blank">940367 2016</a>] [:error] [pid 2598] Unable to verify<br>
certificate 'Signing-Cert'. Add "NSSEnforceValidCerts off" to nss.conf<br>
so the server can start until the problem can be resolved.<br>
<br>
<br>
I've looked into the key, but everything seems to work as expected.<br>
<br>
Has anyone seen this before?<br>
<br>
Environment:<br>
IPA VERSION: 4.2.0, API_VERSION: 2.156<br>
CentOS 7.2<br>
</span></blockquote>
<br>
You set NSSNickname to Signing-Cert? What is the nickname of the cert you imported?<br>
<br>
# certutil -L -d /etc/httpd/alias<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="font-size:12.8px"><font color="#888888"><div style="font-size:12.8px"><a href="http://www.owneriq.com/" style="font-size:medium;color:rgb(17,85,204)" target="_blank"><img src="http://owneriq.com/email/logo-email.png" style="width:160px"></a><br></div><div style="font-size:12.8px"><br></div></font></span><div style="font-size:12.8px"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><font color="#888888"><div style="font-size:12.8px"><div style="font-size:12.8px"><font face="arial, helvetica, sans-serif" color="#666666"><b>Joshua Ruybal | Systems Engineer</b></font></div><div style="font-size:12.8px"><font color="#666666"><font face="arial, helvetica, sans-serif">o: <a href="tel:8668702293x823" value="+12066072599" style="color:rgb(17,85,204)" target="_blank">(866) 870-2295 x823</a> c: <a href="tel:2067244549" value="+13609812963" style="color:rgb(17,85,204)" target="_blank">(206) 724-4549</a></font></font></div><div style="font-size:12.8px"><font color="#666666"><font style="font-family:arial,helvetica,sans-serif;font-size:12.8px">e:</font><span style="font-family:arial,helvetica,sans-serif;font-size:12.8px"> <a href="mailto:jruybal@owneriq.com" style="color:rgb(17,85,204)" target="_blank">jruybal@owneriq.com</a></span></font></div></div></font><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><a href="https://www.linkedin.com/company/owneriq-inc." style="font-size:medium;color:rgb(17,85,204)" target="_blank"><img src="http://owneriq.com/email/linkedin.png" style="width:30px"></a><span style="color:rgb(96,96,96);font-size:medium"> </span><a href="https://www.facebook.com/OwnerIQ" style="font-size:medium;color:rgb(17,85,204)" target="_blank"><img src="http://owneriq.com/email/facebook.png" style="width:30px"></a><span style="color:rgb(96,96,96);font-size:medium"> </span><a href="https://twitter.com/owneriq" style="font-size:medium;color:rgb(17,85,204)" target="_blank"><img src="http://owneriq.com/email/twitter.png" style="width:30px"></a><span style="color:rgb(96,96,96);font-size:medium"> </span><a href="http://www.owneriq.com/blog/" style="font-size:medium;color:rgb(17,85,204)" target="_blank"><img src="http://owneriq.com/email/blog.png" style="width:30px"></a></div></div></div></div></div></div></div></div></div></div></div>
</div>