<div dir="ltr"><div class="inbox-inbox-b5 inbox-inbox-xJNT8d" style="overflow-x:auto;overflow-y:hidden;padding-left:10px;margin-right:60px;color:rgb(33,33,33)"><div class="inbox-inbox-uyb8Gf"><div><div class="inbox-inbox-F3hlO"><div dir="ltr" class="gmail_msg">Florence, for some creepy reason the cert from pkidbuser is different from subsystem certs, and this pkidbuser is outdated now, but i can't manage one way to re-issue it. I had to change the CA server because of that, and the Selinux in the old CA Server was disabled, on the new one is in Permissive mode but doesn't a warning in /var/log/audit/audit.log.<div class="gmail_msg" style="font-size:13px"><br class="gmail_msg"></div><div class="gmail_msg" style="font-size:13px">This is the pkidbuser cert: <a href="https://paste.fedoraproject.org/511023/24084431/" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/511023/24084431/</a></div><div class="gmail_msg" style="font-size:13px">This is the subsystem cert: <a href="https://paste.fedoraproject.org/511025/14824085/" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/511025/14824085/</a></div><div class="gmail_msg" style="font-size:13px">The <span class="gmail_msg">ca.subsystem.cert matches the pkidbuser cert.</span></div></div></div></div></div></div><div class="inbox-inbox-b5 inbox-inbox-xJNT8d" style="overflow-x:auto;overflow-y:hidden;padding-left:10px;color:rgb(33,33,33);margin-left:60px"><div class="inbox-inbox-uyb8Gf"><div class="inbox-inbox-F3hlO"><div dir="ltr" class="gmail_msg"><div class="gmail_msg"><br></div></div></div></div></div><div class="inbox-inbox-b5 inbox-inbox-xJNT8d" style="overflow-x:auto;overflow-y:hidden;padding-left:10px;margin-right:60px;color:rgb(33,33,33)"><div class="inbox-inbox-uyb8Gf"><div><div class="inbox-inbox-F3hlO"><div dir="ltr" class="gmail_msg"><div class="gmail_msg" style="font-size:13px"><span class="gmail_msg">lucasdiedrich.</span></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">Em qui, 22 de dez de 2016 às 06:54, Florence Blanc-Renaud <<a href="mailto:flo@redhat.com">flo@redhat.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 12/21/2016 07:52 PM, Lucas Diedrich wrote:<br class="gmail_msg">
> Hello guys,<br class="gmail_msg">
><br class="gmail_msg">
> I'm having some trouble with, whats is happening with my server is that<br class="gmail_msg">
> i'm hiting an old BUG<br class="gmail_msg">
> (<a href="https://bugzilla.redhat.com/show_bug.cgi?id=1033273" rel="noreferrer" class="gmail_msg" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1033273</a>). Talking to mbasti<br class="gmail_msg">
> over irc he oriented me to send this to the email list.<br class="gmail_msg">
><br class="gmail_msg">
> The problem is, i got on CA Master, so because of this problem the CA<br class="gmail_msg">
> Master certificates couldn't be renewd, so now i promoted another master<br class="gmail_msg">
> to be the CA. And the problem still persist.<br class="gmail_msg">
><br class="gmail_msg">
> This is the certs from my new CA<br class="gmail_msg">
> (<a href="https://paste.fedoraproject.org/510617/14823448/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/510617/14823448/</a>),<br class="gmail_msg">
> this is the certs from my old CA<br class="gmail_msg">
> (<a href="https://paste.fedoraproject.org/510618/44871148/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/510618/44871148/</a>)<br class="gmail_msg">
> This is the log then i restart pki-tomcat( "CA port 636 Error<br class="gmail_msg">
> netscape.ldap.LDAPException: Authentication failed (49)")<br class="gmail_msg">
> This is the log from dirsrv when i restart pki-tomcat<br class="gmail_msg">
> (<a href="https://paste.fedoraproject.org/510614/23446801/" rel="noreferrer" class="gmail_msg" target="_blank">https://paste.fedoraproject.org/510614/23446801/</a>)<br class="gmail_msg">
><br class="gmail_msg">
> Basically my CA is not working anymore...<br class="gmail_msg">
><br class="gmail_msg">
> Anyway, i tried lots of thing but couldn't fix this, anyone has some idea?<br class="gmail_msg">
><br class="gmail_msg">
><br class="gmail_msg">
><br class="gmail_msg">
Hi,<br class="gmail_msg">
<br class="gmail_msg">
Pki-tomcat is using the LDAP server as a data store, meaning that it<br class="gmail_msg">
needs to authenticate to LDAP. In order to do that, pki-tomcat is using<br class="gmail_msg">
the certificate 'subsystemCert cert-pki-ca' stored in<br class="gmail_msg">
/etc/pki/pki-tomcat/alias. For the authentication to succeed, the<br class="gmail_msg">
certificate must be stored in a user entry<br class="gmail_msg">
(uid=pkidbuser,ou=people,o=ipaca).<br class="gmail_msg">
<br class="gmail_msg">
Can you check the content of this entry, especially the usercertificate<br class="gmail_msg">
attribute? It should match the certificate used by pki-tomcat:<br class="gmail_msg">
<br class="gmail_msg">
$ certutil -L -d /etc/pki/pki-tomcat/alias -n 'subsystemCert cert-pki-ca' -a<br class="gmail_msg">
-----BEGIN CERTIFICATE-----<br class="gmail_msg">
[...]<br class="gmail_msg">
-----END CERTIFICATE-----<br class="gmail_msg">
<br class="gmail_msg">
$ kinit admin<br class="gmail_msg">
$ ldapsearch -Y GSSAPI -h `hostname` -p 389 -b<br class="gmail_msg">
uid=pkidbuser,ou=people,o=ipaca "(objectclass=*)" usercertificate<br class="gmail_msg">
dn: uid=pkidbuser,ou=people,o=ipaca<br class="gmail_msg">
usercertificate:: <content should match the output above><br class="gmail_msg">
<br class="gmail_msg">
The file /etc/pki/pki-tomcat/ca/CS.cfg should also contain this<br class="gmail_msg">
certificate in the directive ca.subsystem.cert.<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
A possible cause for the entries not being updated is the bug 1366915<br class="gmail_msg">
[1] linked to SE linux on RHEL7, or bug 1365188 [2] linked to SE linux<br class="gmail_msg">
on Fedora 24.<br class="gmail_msg">
<br class="gmail_msg">
Flo<br class="gmail_msg">
<br class="gmail_msg">
[1] <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1366915" rel="noreferrer" class="gmail_msg" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1366915</a><br class="gmail_msg">
[2] <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1365188" rel="noreferrer" class="gmail_msg" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1365188</a><br class="gmail_msg">
</blockquote></div></div>