<div dir="ltr">Thanks for getting back to me. <div><br></div><div>getcert list | grep expires shows dates years in the future for all certificates</div><div><img src="cid:ii_1591cd9c5d9e4376" alt="Inline-Bild 1" width="382" height="149"><br></div><div><br></div><div><div><span style="font-size:12.8px">ipactl start --force</span><br></div><div><br></div><div>Eventually the system started with:</div></div><div>     Forced start, ignoring pki-tomcatd Service, continuing normal operations.</div><div><div><span style="font-size:12.8px"><br></span></div><div><div>systemctl status ipa shows: failed</div></div><div><br></div><div><span style="font-size:12.8px">ldapsearch -H ldaps://localhost:636 -D "cn=directory manager" -w password -b "" -s base</span><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">ldapsearch -H ldaps://localhost:636 -D "cn=directory manager" -w *********** -b "" -s base</span><span style="font-size:12.8px"><br></span></div></div><div><img src="cid:ii_1591cdbca001051d" alt="Inline-Bild 2" width="521" height="52"><br></div><div><br></div><div>The logs have thousands of lines like it, what am I looking for specifically?</div><div><br></div><div>Daniel</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-12-20 4:18 GMT-06:00 Florence Blanc-Renaud <span dir="ltr"><<a href="mailto:flo@redhat.com" target="_blank">flo@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 12/19/2016 07:15 PM, Daniel Schimpfoessl wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Good day and happy holidays,<br>
<br>
I have been running a freeIPA instance for a few years and been very<br>
happy. Recently the certificate expired and I updated it using the<br>
documented methods. At first all seemed fine. Added a Nagios monitor for<br>
the certificate expiration and restarted the server (single server). I<br>
have weekly snapshots, daily backups (using Amanda on the entire disk).<br>
<br>
One day the services relying on IPA failed to authenticate. Looking at<br>
the server the ipa service had stopped. Restarting the service fails.<br>
Restoring a few weeks old snapshot does not start either. Resetting the<br>
date to a few month back does not work either as httpd fails to start .<br>
<br>
I am at a loss.<br>
<br>
Here a few details:<br>
# ipa --version<br>
VERSION: 4.4.0, API_VERSION: 2.213<br>
<br>
<br>
# /usr/sbin/ipactl start<br>
...<br>
out -> Failed to start pki-tomcatd Service<br>
/var/log/pki/pki-tomcat/ca/deb<wbr>ug -> Could not connect to LDAP server<br></span>
host <a href="http://ipa.myorg.com" rel="noreferrer" target="_blank">ipa.myorg.com</a> <<a href="http://ipa.myorg.com" rel="noreferrer" target="_blank">http://ipa.myorg.com</a>> port 636 Error<span class=""><br>
netscape.ldap.LDAPException: Authentication failed (48)<br>
2016-12-19T03:02:16Z DEBUG The CA status is: check interrupted due to<br>
error: Retrieving CA status failed with status 500<br>
<br>
Any help would be appreciated as all connected services are now down.<br>
<br>
Thanks,<br>
<br>
Daniel<br>
<br>
<br>
<br>
<br>
</span></blockquote>
Hi Daniel,<br>
<br>
more information would be required to understand what is going on. First of all, which certificate did you renew? Can you check with<br>
$ getcert list<br>
if other certificates also expired?<br>
<br>
PKI fails to start and the error seems linked to the SSL connection with the LDAP server. You may want to check if the LDAP server is listening on the LDAPs port:<br>
- start the stack with<br>
$ ipactl start --force<br>
- check the LDAPs port with<br>
$ ldapsearch -H ldaps://localhost:636 -D "cn=directory manager" -w password -b "" -s base<br>
<br>
The communication between PKI and the LDAP server is authenticated with the certificate 'subsystemCert cert-pki-ca' located in /etc/pki/pki-tomcat/alias, so you may also want to check if it is still valid.<br>
The directory server access logs (in /var/log/dirsrv/slapd-DOMAIN-C<wbr>OM/access) would also show the connection with logs similar to:<br>
<br>
[...] conn=47 fd=84 slot=84 SSL connection from 10.34.58.150 to 10.34.58.150<br>
[...] conn=47 TLS1.2 128-bit AES; client CN=CA Subsystem,O=<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">DOMAIN.COM</a>; issuer CN=Certificate Authority,O=<a href="http://DOMAIN.COM" rel="noreferrer" target="_blank">DOMAIN.COM</a><br>
[...] conn=47 TLS1.2 client bound as uid=pkidbuser,ou=people,o=ipac<wbr>a<br>
[...] conn=47 op=0 BIND dn="" method=sasl version=3 mech=EXTERNAL<br>
[...] conn=47 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=pkidbuser,ou=people,o=<wbr>ipaca"<br>
<br>
<br>
<br>
HTH,<br>
Flo<br>
</blockquote></div><br></div>