freeipa pki-tomcat failed после обновления


В процессе обновления выяснилось,что протух NSS Certificate DB и как следствие сломалось автообновление сертификатов в принципе.
Проверить сертификат можно так
getcert list -d /etc/pki/pki-tomcat/alias -n 'caSigningCert cert-pki-ca'
сервис pki-tomcatd@pki-tomcat.service не стартует
команда ipa-cacert-manage renew завершается по таймауту.
Решение:
В файл /etc/pki/pki-tomcat/password.conf добавляем строку
internaldb=my_directory_manager_password
Делаем бакап файла /etc/pki/pki-tomcat/ca/CS.cfg и вносим изменения
+internaldb.ldapauth.authtype=BasicAuth
> +internaldb.ldapauth.bindDN=cn=Directory Manager
> +internaldb.ldapauth.bindPWPrompt=internaldb
> -internaldb.ldapauth.authtype=SslClientAuth
> -internaldb.ldapauth.bindDN=uid=pkidbuser,ou=people,o=ipaca
> internaldb.ldapauth.clientCertNickname=subsystemCert cert-pki-ca
> internaldb.ldapconn.cloneReplicationPort=389
> internaldb.ldapconn.masterReplicationPort=7389
> +internaldb.ldapconn.port=389
> -internaldb.ldapconn.port=636
> internaldb.ldapconn.replicationSecurity=TLS
> +internaldb.ldapconn.secureConn=false
> -internaldb.ldapconn.secureConn=true

На всякий случай останавливаем systemctl stop chronyd,чтобы не сменил дату обратно.
Меняем дату так,чтобы сертификат был еще действителен.Запускаем
systemctl start pki-tomcatd@pki-tomcat.service
Если не запускается,то смотрим в файле /var/log/pki/pki-tomcat/ca/debug-дата-которую поставили.
После запуска pki-tomcat делаем
ipa-cacert-manage renew
если в выводе страшные и непонятные ошибки,то дополнительно systemctl restart ipa и потом снова ipa-cacert-manage renew ошибок не должно быть.
Затем systemctl restart certmonger и смотрим в top,когда он перевыпустит просроченные сертификаты.
Актуализируем дату chronyc makestep и перезагружаем сервер.
После перезагрузки проверяем,чтобы всё работало и заменяем обратно файл /etc/pki/pki-tomcat/ca/CS.cfg из бакапа,который сделали.
и финально перезапускаем systemctl restart pki-tomcatd@pki-tomcat.service