<div dir="ltr">Hi,<div><br></div><div>I have a setup where i want to add a replica.  The first master setup has an externally signed cert for dirsrv and httpd.  The replica is prepapred succesfully with ipa-client-install but the replica install then keeps failing.  It seems that during install dirserv is not configured correctly with a valid server certificate. Output from the dirsrv error added to this email as well.</div><div><br></div><div><div>[root@ns02 ~]# ipa-replica-install --setup-ca</div><div>WARNING: conflicting time&date synchronization service 'chronyd' will</div><div>be disabled in favor of ntpd</div><div><br></div><div>Run connection check to master</div><div>Connection check OK</div><div>Configuring NTP daemon (ntpd)</div><div>  [1/4]: stopping ntpd</div><div>  [2/4]: writing configuration</div><div>  [3/4]: configuring ntpd to start on boot</div><div>  [4/4]: starting ntpd</div><div>Done configuring NTP daemon (ntpd).</div><div>Configuring directory server (dirsrv). Estimated time: 1 minute</div><div>  [1/43]: creating directory server user</div><div>  [2/43]: creating directory server instance</div><div>  [3/43]: restarting directory server</div><div>  [4/43]: adding default schema</div><div>  [5/43]: enabling memberof plugin</div><div>  [6/43]: enabling winsync plugin</div><div>  [7/43]: configuring replication version plugin</div><div>  [8/43]: enabling IPA enrollment plugin</div><div>  [9/43]: enabling ldapi</div><div>  [10/43]: configuring uniqueness plugin</div><div>  [11/43]: configuring uuid plugin</div><div>  [12/43]: configuring modrdn plugin</div><div>  [13/43]: configuring DNS plugin</div><div>  [14/43]: enabling entryUSN plugin</div><div>  [15/43]: configuring lockout plugin</div><div>  [16/43]: configuring topology plugin</div><div>  [17/43]: creating indices</div><div>  [18/43]: enabling referential integrity plugin</div><div>  [19/43]: configuring certmap.conf</div><div>  [20/43]: configure autobind for root</div><div>  [21/43]: configure new location for managed entries</div><div>  [22/43]: configure dirsrv ccache</div><div>  [23/43]: enabling SASL mapping fallback</div><div>  [24/43]: restarting directory server</div><div>  [25/43]: creating DS keytab</div><div>  [26/43]: retrieving DS Certificate</div><div>  [27/43]: restarting directory server</div><div>ipa         : CRITICAL Failed to restart the directory server (Command '/bin/systemctl restart dirsrv@SOMETHING-BE.service' returned non-zero exit status 1). See the installation log for details.</div><div>  [28/43]: setting up initial replication</div><div>  [error] error: [Errno 111] Connection refused</div><div>Your system may be partly configured.</div><div>Run /usr/sbin/ipa-server-install --uninstall to clean up.</div><div><br></div><div><br></div><div>[29/Nov/2016:11:29:44.034285579 +0100] SSL alert: Security Initialization: Can't find certificate (Server-Cert) for family cn=RSA,cn=encryption,cn=config (Netscape Portable Runtime error -8174 - security library: bad database.)</div><div>[29/Nov/2016:11:29:44.045039728 +0100] SSL alert: Security Initialization: Unable to retrieve private key for cert Server-Cert of family cn=RSA,cn=encryption,cn=config (Netscape Portable Runtime error -8174 - security library: bad database.)</div></div><div><br></div><div><br></div></div>