<div dir="ltr"><div>To sum up, our problem was we did not install new CA crt on all replicas, which should be probably done using "ipa-certupdate", but we missed that in the documentation.</div><div><br></div><div>Regarding the certificates encoding, we noticed that after the upgrade v3 -> v4 IPA issues certificates in UTF8STRING and as long as our CA crt was still PRINTABLESTRING, it created miss-matched certificates. This could be fixed by the CA crt renew.</div><div><br></div><div>J.</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-01-04 16:46 GMT+01:00 Jan Orel <span dir="ltr"><<a href="mailto:janorel@gmail.com" target="_blank">janorel@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>recently we renewed our CA crt. Later we noticed the new CA certificate uses different encoding in Issuer and Subject:</div><div><br></div><div><div>subject= </div><div>    organizationName          = UTF8STRING:<a href="http://INTGDC.COM" target="_blank">INTGDC.COM</a></div><div>    commonName                = UTF8STRING:Certificate Authority</div><div>issuer= </div><div>    organizationName          = PRINTABLESTRING:<a href="http://INTGDC.COM" target="_blank">INTGDC.COM</a></div><div>    commonName                = PRINTABLESTRING:Certificate Authority</div></div><div><br></div><div>The former CA certificate is PRINTABLESTRING in both fields, as well as all the older certs.</div><div><br></div><div>Since the renewal we have issues with trusting newly issued certificates, which also have different encoding in subject and issuer.</div><div><br></div><div>What should be the default (correct) encoding for the certificates?</div><div><br></div><div>According to the: <a href="http://www.freeipa.org/page/Troubleshooting" target="_blank">http://www.freeipa.org/<wbr>page/Troubleshooting</a> seems it should be UTF8</div><div><br></div><div>but from the certmonger: <a href="https://git.fedorahosted.org/cgit/certmonger.git/commit/?id=e6ecd5d8df3413a9717c57ee7fb8702ece23afd6" target="_blank">https://git.<wbr>fedorahosted.org/cgit/<wbr>certmonger.git/commit/?id=<wbr>e6ecd5d8df3413a9717c57ee7fb870<wbr>2ece23afd6</a></div><div><br></div><div>seems PRINTABLESTRING is used.</div><div><br></div><div>How to fix? Do we need to re-new the CA certificate once again?</div><div><br></div><div>Thank you</div><div>Jan Orel</div><div><br></div><div>We run:</div><div>ipa-server-4.2.0-15.0.1.el7.<wbr>centos.19.x86_64<br></div><div>certmonger-0.78.4-1.el7.x86_64<br></div><div>nuxwdog-1.0.3-4.el7_2.x86_64<br></div></div>
</blockquote></div><br></div>