Fedora 25+ freeipa 4.4.4

Есть 3 контейнера, расположенных на разных нодах проксмокс (5.0) Один из контейнеров - рабочая freeipa. 2 других должны стать репликами (ca и domain)

domain реплицируется отлично, а вот replica-ca-install фейлится

На мастере установлен ssl-сертификат от letsencrypt

вот что интересного в логе:

Loading deployment configuration from /tmp/tmpU9FpHx. Installing CA into /var/lib/pki/pki-tomcat. Storing deployment configuration into /etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg. Importing certificates from /tmp/ca.p12:

--------------- 6 entries found

/*

тут сертификаты

*/

Imported certificates in /etc/pki/pki-tomcat/alias:

Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI

DSTRootCAX3 C,, caSigningCert cert-pki-ca CTu,Cu,Cu auditSigningCert cert-pki-ca u,u,Pu letsencryptx3 C,, ocspSigningCert cert-pki-ca u,u,u subsystemCert cert-pki-ca u,u,u

Installation failed: com.netscape.certsrv.base.BadRequestException: Clone URI does not match available subsystems: https://ipa.my-domain:443

Please check the CA logs in /var/log/pki/pki-tomcat/ca.

2017-10-30T12:50:29Z DEBUG stderr=certutil: Could not find cert: DSTRootCAX3 : PR_FILE_NOT_FOUND_ERROR: File not found certutil: Could not find cert: letsencryptx3 : PR_FILE_NOT_FOUND_ERROR: File not found

2017-10-30T12:50:29Z CRITICAL Failed to configure CA instance: Command '/usr/sbin/pkispawn -s CA -f /tmp/tmpU9FpHx' returned non-zero exit status 1 2017-10-30T12:50:29Z CRITICAL See the installation logs and the following files/directories for more information: 2017-10-30T12:50:29Z CRITICAL /var/log/pki/pki-tomcat 2017-10-30T12:50:29Z DEBUG Traceback (most recent call last): File «/usr/lib/python2.7/site-packages/ipaserver/install/service.py», line 449, in start_creation run_step(full_msg, method) File «/usr/lib/python2.7/site-packages/ipaserver/install/service.py», line 439, in run_step method() File «/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py», line 587, in __spawn_instance DogtagInstance.spawn_instance(self, cfg_file) File «/usr/lib/python2.7/site-packages/ipaserver/install/dogtaginstance.py», line 181, in spawn_instance self.handle_setup_error(e) File «/usr/lib/python2.7/site-packages/ipaserver/install/dogtaginstance.py», line 420, in handle_setup_error raise RuntimeError(«%s configuration failed.» % self.subsystem) RuntimeError: CA configuration failed.

после чего реплика фейлится бьюсь над проблемой уже 3 дня, направьте, пожалуйста, в нужном направлении)

PS судя по активному гуглению - у меня не у первого такая проблема, однако ее решения я так и не нашел мастер-ипа имеет ssl сертификат от letsencrypt, однако, он импортируется в реплики. Заранее спасибо)