LINUX.ORG.RU
ФорумAdmin

Ошибка при создании реплики CA

 , , ,


0

1

Fedora 25+ freeipa 4.4.4

Есть 3 контейнера, расположенных на разных нодах проксмокс (5.0) Один из контейнеров - рабочая freeipa. 2 других должны стать репликами (ca и domain)

domain реплицируется отлично, а вот replica-ca-install фейлится

На мастере установлен ssl-сертификат от letsencrypt

вот что интересного в логе:

Loading deployment configuration from /tmp/tmpU9FpHx. Installing CA into /var/lib/pki/pki-tomcat. Storing deployment configuration into /etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg. Importing certificates from /tmp/ca.p12:

--------------- 6 entries found

/*

тут сертификаты

*/

Imported certificates in /etc/pki/pki-tomcat/alias:

Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI

DSTRootCAX3 C,, caSigningCert cert-pki-ca CTu,Cu,Cu auditSigningCert cert-pki-ca u,u,Pu letsencryptx3 C,, ocspSigningCert cert-pki-ca u,u,u subsystemCert cert-pki-ca u,u,u

Installation failed: com.netscape.certsrv.base.BadRequestException: Clone URI does not match available subsystems: https://ipa.my-domain:443

Please check the CA logs in /var/log/pki/pki-tomcat/ca.

2017-10-30T12:50:29Z DEBUG stderr=certutil: Could not find cert: DSTRootCAX3 : PR_FILE_NOT_FOUND_ERROR: File not found certutil: Could not find cert: letsencryptx3 : PR_FILE_NOT_FOUND_ERROR: File not found

2017-10-30T12:50:29Z CRITICAL Failed to configure CA instance: Command '/usr/sbin/pkispawn -s CA -f /tmp/tmpU9FpHx' returned non-zero exit status 1 2017-10-30T12:50:29Z CRITICAL See the installation logs and the following files/directories for more information: 2017-10-30T12:50:29Z CRITICAL /var/log/pki/pki-tomcat 2017-10-30T12:50:29Z DEBUG Traceback (most recent call last): File «/usr/lib/python2.7/site-packages/ipaserver/install/service.py», line 449, in start_creation run_step(full_msg, method) File «/usr/lib/python2.7/site-packages/ipaserver/install/service.py», line 439, in run_step method() File «/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py», line 587, in __spawn_instance DogtagInstance.spawn_instance(self, cfg_file) File «/usr/lib/python2.7/site-packages/ipaserver/install/dogtaginstance.py», line 181, in spawn_instance self.handle_setup_error(e) File «/usr/lib/python2.7/site-packages/ipaserver/install/dogtaginstance.py», line 420, in handle_setup_error raise RuntimeError(«%s configuration failed.» % self.subsystem) RuntimeError: CA configuration failed.

после чего реплика фейлится бьюсь над проблемой уже 3 дня, направьте, пожалуйста, в нужном направлении)

PS судя по активному гуглению - у меня не у первого такая проблема, однако ее решения я так и не нашел мастер-ипа имеет ssl сертификат от letsencrypt, однако, он импортируется в реплики. Заранее спасибо)



Последнее исправление: theendcomplete (всего исправлений: 2)

Could not find cert: DSTRootCAX3

Попробуй закинуть этот сертификат в /etc/pki/ca-trust/source/anchors/ и сделать update-ca-trust extract

Deleted
()
Ответ на: комментарий от Deleted

спасибо, кажется, вот это - нужное направление)

новая ошибка:

Check connection from master to remote replica 'ipa0.my-domain.ru': Directory Service: Unsecure port (389): OK Directory Service: Secure port (636): OK Kerberos KDC: TCP (88): OK Kerberos KDC: UDP (88): WARNING Kerberos Kpasswd: TCP (464): OK Kerberos Kpasswd: UDP (464): WARNING HTTP Server: Unsecure port (80): OK HTTP Server: Secure port (443): OK The following UDP ports could not be verified as open: 88, 464 This can happen if they are already bound to an application and ipa-replica-conncheck cannot attach own UDP responder.

Connection from master to replica is OK.

ipa : DEBUG stderr= Connection check OK ipa : INFO Skipping CA DS schema check ipa : DEBUG Loading StateFile from '/var/lib/ipa/sysrestore/sysrestore.state' ipa : DEBUG Starting external process ipa : DEBUG args=/usr/bin/pk12util -d /tmp/tmpA1t3X7 -k /tmp/tmpA1t3X7/nsspwfile -n caSigningCert cert-pki-ca -i /tmp/tmpA1t3X7/pk12file -w /tmp/tmpA1t3X7/pk12pwfile ipa : DEBUG Process finished, return code=19 ipa : DEBUG stdout= ipa : DEBUG stderr=pk12util: PKCS12 decode import bags failed: SEC_ERROR_PKCS12_UNABLE_TO_IMPORT_KEY: Unable to import. Error attempting to import private key.

ipa : DEBUG File «/usr/lib/python2.7/site-packages/ipaserver/install/installutils.py», line 774, in run_script return_value = main_function()

File «/usr/sbin/ipa-ca-install», line 300, in main promote(safe_options, options, filename)

File «/usr/sbin/ipa-ca-install», line 272, in promote install_replica(safe_options, options, filename)

File «/usr/sbin/ipa-ca-install», line 190, in install_replica custodia.get_ca_keys(config.ca_host_name, ca_data[0], ca_data[1])

File «/usr/lib/python2.7/site-packages/ipaserver/install/custodiainstance.py», line 182, in get_ca_keys self.__get_keys(ca_host, cacerts_file, cacerts_pwd, data)

File «/usr/lib/python2.7/site-packages/ipaserver/install/custodiainstance.py», line 156, in __get_keys '-w', pk12pwfile])

File «/usr/lib/python2.7/site-packages/ipapython/ipautil.py», line 515, in run raise CalledProcessError(p.returncode, arg_string, str(output))

ipa : DEBUG The ipa-ca-install command failed, exception: CalledProcessError: Command '/usr/bin/pk12util -d /tmp/tmpA1t3X7 -k /tmp/tmpA1t3X7/nsspwfile -n caSigningCert cert-pki-ca -i /tmp/tmpA1t3X7/pk12file -w /tmp/tmpA1t3X7/pk12pwfile' returned non-zero exit status 19

Your system may be partly configured. Run /usr/sbin/ipa-server-install --uninstall to clean up.

Копаю дальше)

theendcomplete
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin