<div dir="ltr">Thanks for the reply Rob.  Here is the requested information, let me know if I cut too much<div><br></div><div><div>Certificate:</div><div>    Data:</div><div>        Version: 3 (0x2)</div><div>        Serial Number: 4098 (0x1002)</div><div>        Signature Algorithm: sha256WithRSAEncryption</div><div>        Issuer: --cut--</div><div>        Validity</div><div>            Not Before: May 25 20:52:11 2017 GMT</div><div>            Not After : Jun  4 20:52:11 2018 GMT</div><div>        Subject: --cut--</div><div>        Subject Public Key Info:</div><div>            Public Key Algorithm: rsaEncryption</div><div>            RSA Public Key: (2048 bit)</div><div>                Modulus (2048 bit):</div><div>--cut--</div><div>                Exponent: 65537 (0x10001)</div><div>        X509v3 extensions:</div><div>            X509v3 Basic Constraints: </div><div>                CA:FALSE</div><div>            Netscape Cert Type: </div><div>                SSL Server</div><div>            Netscape Comment: </div><div>                OpenSSL Generated Server Certificate</div><div>            X509v3 Subject Key Identifier: </div><div>                --cut--</div><div>            X509v3 Authority Key Identifier: </div><div>                --cut--</div><div><br></div><div>            X509v3 Key Usage: critical</div><div>                Digital Signature, Key Encipherment</div><div>            X509v3 Extended Key Usage: </div><div>                TLS Web Server Authentication</div><div>    Signature Algorithm: sha256WithRSAEncryption</div><div>--cut--</div><div>-----BEGIN CERTIFICATE-----</div><div>--cut--</div><div>-----END CERTIFICATE-----</div></div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, May 26, 2017 at 11:07 AM Rob Crittenden <<a href="mailto:rcritten@redhat.com">rcritten@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Jamie Johnson wrote:<br>
> I am trying to track down what the meaning of this error is.  After a<br>
> bit of googling I understand that the certificate the client is using to<br>
> talk to the server has an issue, but I can't figure out if it's an issue<br>
> with the chain or if it's an issue with the certificate itself.  The<br>
> client certificate has the ExtendedKeyUsages serverAuth and KeyUsage<br>
> DigitalSignature and Key_Encipherment, the chain has an intermediate<br>
> with KeyUsage DigitalSignature, Key_CertSign, Crl_Sign and a root CA<br>
> with KeyUsage DigitalSignature, Key_CertSign, Crl_Sign.  I can't find<br>
> any more online as to what might be causing this and am a bit stumped at<br>
> this point, is there any direction that can be provided to help track<br>
> this down?<br>
<br>
I need more context. I assume the server is working ok, but when you<br>
attempt to authenticate using a client cert it fails with the -8101 error?<br>
<br>
This is likely an issue with the client cert itself. Can you provide the<br>
output of openssl x509 -text -in (cut out the issuer/subject/keys if<br>
you'd like).<br>
<br>
rob<br>
</blockquote></div>