<div dir="ltr"><div><div><div>Hi.<br><br>I've tried to delete and reimport only the <i>Server-Cert</i> certificate (I've a copy of the original folder).<br>But it happened a strange behaviour:<br><br><i># certutil -L -d /etc/httpd/alias -n Server-Cert -a > /tmp/Server-Cert.crt<br><br># certutil -D -d /etc/httpd/alias -n Server-Cert<br><br># certutil -L -d .<br>Certificate Nickname                                         Trust Attributes<br>                                                             SSL,S/MIME,JAR/XPI<br>Signing-Cert                                                 u,u,u<br>ipaCert                                                      u,u,u<br><a href="http://IPA.PEDONGROUP.COM">IPA.PEDONGROUP.COM</a> IPA CA                                    CT,C,C<br><br># certutil -A -d /etc/httpd/alias -n Server-Cert <b>-t u,u,u</b> -a -i /tmp/Server-Cert.crt<br>Notice: Trust flag u is set automatically if the private key is present.<br><b>p11-kit: objects of this type cannot be created</b><br><br># certutil -L -d /etc/httpd/alias<br>Certificate Nickname                                         Trust Attributes<br>                                                             SSL,S/MIME,JAR/XPI<br>Signing-Cert                                                 u,u,u<br>ipaCert                                                      u,u,u<br><a href="http://IPA.PEDONGROUP.COM">IPA.PEDONGROUP.COM</a> IPA CA                                    CT,C,C<br>Server-Cert                                                  <b>Pu,u,u</b></i><br><br></div>What's the error message in bold?<br></div>And why trust flags are set different from ones specified?<br><br></div>Thanks, Morgan<br><div class="gmail_extra"><br><div class="gmail_quote">2016-11-17 17:36 GMT+01:00 Morgan Marodin <span dir="ltr"><<a href="mailto:morgan@marodin.it" target="_blank">morgan@marodin.it</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hi.<br></div><div><br>I've upgraded all packages of my distribution, not only ipa packages.<br>There were a lot of packages.<br><i>[root@mlv-ipa01 ~]# rpm -q mod_nss<br>mod_nss-1.0.14-7.el7.x86_64</i><br><br></div>All other checks seem ok:<br><div><i>[root@mlv-ipa01 ~]# certutil -V -u V -d /etc/httpd/alias -n Server-Cert<br>certutil: certificate is valid<br><br>[root@mlv-ipa01 ~]# getsebool<br>getsebool:  SELinux is disabled<span class=""><br><br>[root@mlv-ipa01 ~]# certutil -K -d /etc/httpd/alias/ -f /etc/httpd/alias/pwdfile.txt<br></span><span class="">certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"<br></span>< 0> rsa      736...   NSS Certificate DB:Server-Cert<br>< 1> rsa      a4b...   NSS Certificate DB:Signing-Cert<br>< 2> rsa      0ff...   NSS Certificate DB:ipaCert<br></i><br><i>[root@mlv-ipa01 ~]# certutil -L -d /etc/httpd/alias/ -n Server-Cert | egrep "Not Before|Not After"<br>            Not Before: Mon Sep 07 10:15:34 2015<br>            Not After : Thu Sep 07 10:15:34 2017</i><br><br></div><div>Could it be a good idea to export and re-import all certs from <i>/etc/httpd/alias</i> folder?<i><br></i><br></div><div>Thanks<i><br></i></div><div><div class="h5"><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">2016-11-17 17:07 GMT+01:00 Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="m_-7653610020322319961gmail-">Morgan Marodin wrote:<br>
> Hi Rob.<br>
><br>
> I've just tried to remove the group write to the *.db files, but it's<br>
> not the problem.<br>
<br>
</span>I didn't expect it to be but you don't want Apache having write access<br>
to your certs and keys.<br>
<br>
> /[root@mlv-ipa01 ~]# grep NSSNickname /etc/httpd/conf.d/nss.conf<br>
> NSSNickname Server-Cert/<br>
<br>
Ok.<br>
<br>
><br>
> I've tried to run manually /dirsrv.target/ and /krb5kdc.service/, and it<br>
> works, services went up.<br>
> The same for /ntpd/, /named-pkcs11.service/, /smb.service/,<br>
> /winbind.service/, /kadmin.service/, /memcached.service/ and<br>
> /pki-tomcatd.target/.<br>
<br>
Good, so you can limp along for a while then.<br>
<br>
> Any other ideas?<br>
<br>
So you upgraded. What did you actually upgrade? Only the IPA packages or<br>
a lot more?<br>
<br>
What version is running now, and what version of mod_nss?<br>
<br>
$ rpm -q mod_nss<br>
<br>
Let's see if the NSS tools can find the cert:<br>
<br>
# certutil -V -u V -d /etc/httpd/alias -n Server-Cert<br>
<br>
Should come back with: certutil: certificate is valid<br>
<span class="m_-7653610020322319961gmail-HOEnZb"><font color="#888888"><br>
rob<br>
</font></span></blockquote></div></div></div></div></div></div></div></div>
</blockquote></div></div></div>