我有一个带两个节点的freeipa。在一个节点上，我没有问题，但是在另一个节点上，pki-tomcat无法启动。 ipacts以--ignore-service-failure开头， pki-tomcatd服务：已停止

我所做的第一件事是将日期更改为过期日期之前的时间。 ipa-cacert-manage续订说可以，但是pki-tomcat的证书不起作用。

getcert列表很好地显示了所有证书，但以下证书： 请求ID'20171110140549'： 状态：CA_UNREACHABLE ca错误：连接到https://ipa0.domain.com:8443/ca/agent/ca/profileReview的错误60：对等证书无法使用给定的CA证书进行身份验证。 卡住：否 密钥对存储：type = NSSDB，位置='/ etc / pki / pki-tomcat / alias'，昵称='Server-Cert cert-pki-ca'，令牌='NSS Certificate DB'，引脚设置 证书：type = NSSDB，location ='/ etc / pki / pki-tomcat / alias'，昵称='Server-Cert cert-pki-ca'，令牌='NSS Certificate DB' CA：dogtag-ipa-renew-agent 颁发者：CN =证书颁发机构，O = DOMAIN.COM 主题：CN = ipa0.domain.com，O = DOMAIN.COM 过期：2019-10-31 14:05:23 UTC 密钥用法：digitalSignature，不可否认，密钥加密，数据加密 eku：id-kp-serverauth，id-kp-clientAuth，id-kp-emailProtection 预保存命令：/ usr / libexec / ipa / certmonger / stop_pkicad 后保存命令：/ usr / libexec / ipa / certmonger / renew_ca_cert“服务器证书cert-pki-ca” 曲目：是 自动更新：是

当我尝试卷曲时，出现错误404。 [root @ ipa0 pki-tomcat]＃curl https://ipa0.domain.com:8443/ca/agent/ca/profileReview Apache Tomcat / 8.0.46-错误报告H1 {font-family：Tahoma，Arial，sans-serif; color：white; background-color：＃525D76; font-size：22px;} H2 {font-family：Tahoma，Arial， sans-serif;颜色：白色;背景颜色：＃525D76;字体大小：16px;} H3 {font-family：Tahoma，Arial，sans-serif;颜色：白色;背景颜色：＃525D76;字体大小：14px;} BODY {字体家族：Tahoma，Arial，sans-serif;颜色：黑色；背景色：白色；} B {font-family：Tahoma，Arial，sans-serif; color：white; background-color ：＃525D76;} P {font-family：Tahoma，Arial，sans-serif; background：white; color：black; font-size：12px;} A {color：黑色；} A.name {color：黑色；} .line {height：1px;背景颜色：＃525D76； border：none;}

HTTP状态404-/ ca /​​ agent / ca /​​ profileReview

类型状态报告

消息 / ca /​​ agent / ca /​​ profileReview

说明请求的资源不可用。

Apache Tomcat / 8.0.46

如何使pki-tomcat工作？如何修复证书？ 也许我看不到简单明了的东西...