В первый раз пытаюсь сделать SSL сертификат с помощью FreeIPA CA (dogtag). Пытаюсь отправить CSR через certmonger. На клиенте сделал:
# ipa-getcert request ...
На нём же смотрю, что получилось:
# getcert list
Number of certificates and requests being tracked: 1.
Request ID '20181003165853':
status: CA_UNREACHABLE
ca-error: Server at https://ns1.example.com/ipa/xml failed request, will retry: 903 (RPC failed at server. an internal error has occurred).
stuck: no
[...]
Пробую пихнуть ещё раз:
# ipa-certupdate
trying https://ns1.example.com/ipa/json
did not receive Kerberos credentials
The ipa-certupdate command failed.
Не верю, пробую другую команду:
# ipa user-find
---------------
3 users matched
---------------
User login: ***
[...]
Проверяю кэш Kerberos на клиенте:
# klist -f
Ticket cache: KEYRING:persistent:1277400000:1277400000
Default principal: admin@EXAMPLE.COMValid starting Expires Service principal
10/03/2018 10:13:09 10/03/2018 17:48:48 HTTP/ns1.example.com@EXAMPLE.COM
Flags: FfAT
10/03/2018 09:21:17 10/03/2018 17:48:48 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Flags: FfAT
Пробую вручную пробиться:
# curl --negotiate -u : https://ns1.example.com/ipa/json
{"result": null, "version": "4.5.4", "error": {"message": "Missing or invalid HTTP Referer, missing", "code": 911, "data": {"referer": "missing"}, "name": "RefererError"}, "id": null, "principal": "admin@EXAMPLE.COM"}
В логах у клиента и у сервера - только сообщения о старте-стопе.
Никто не видел такого зверя, что я делаю неправильно?