<div dir="ltr"><div>Interestingly, I just got this same error again after I upgraded (I upgraded from 4.0.4 to 4.0.5 to fix the &#39;internal server error&#39; bug that was fixed in 4.0.5)<br><br>server_error: The connection reader was unable to successfully complete TLS negotiation: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateExpiredException: NotAfter: Fri Nov 04 00:19:18 GMT 2016 caused by java.security.cert.CertificateExpiredException: NotAfter: Fri Nov 04 00:19:18 GMT 2016<br><br></div>Shall I send the logs?<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 24, 2016 at 10:55 AM, Yedidyah Bar David <span dir="ltr">&lt;<a href="mailto:didi@redhat.com" target="_blank">didi@redhat.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, Nov 24, 2016 at 12:47 PM, cmc &lt;<a href="mailto:iucounu@gmail.com">iucounu@gmail.com</a>&gt; wrote:<br>
&gt; Hi Yedidyah,<br>
&gt;<br>
&gt; Attached are the setup logs, sorry for the delay. I checked all the backup<br>
&gt; certs, and the expiry dates were either in 2021 or 2026.<br>
<br>
</span>Sorry, no idea.<br>
<br>
This means that all certs generated by engine-setup were ok.<br>
<br>
Not sure what caused this message. If it happens again, please<br>
check the certificate&#39;s details, who issued/signed it etc.<br>
<br>
Best,<br>
<div class="HOEnZb"><div class="h5"><br>
&gt;<br>
&gt; Regards,<br>
&gt;<br>
&gt; Cam<br>
&gt;<br>
&gt; On Tue, Nov 8, 2016 at 7:25 AM, Yedidyah Bar David &lt;<a href="mailto:didi@redhat.com">didi@redhat.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; On Mon, Nov 7, 2016 at 9:15 PM, cmc &lt;<a href="mailto:iucounu@gmail.com">iucounu@gmail.com</a>&gt; wrote:<br>
&gt;&gt; &gt; To reply to my own email:<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; This is now fixed.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; I originally ran these steps for the upgrade:<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; # yum install<br>
&gt;&gt; &gt; <a href="http://resources.ovirt.org/pub/yum-repo/ovirt-release40.rpm" rel="noreferrer" target="_blank">http://resources.ovirt.org/<wbr>pub/yum-repo/ovirt-release40.<wbr>rpm</a><br>
&gt;&gt; &gt; # yum update &quot;ovirt-engine-setup*&quot;<br>
&gt;&gt; &gt; # engine-setup<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; There were no errors reported during the process. I could login as the<br>
&gt;&gt; &gt; internal user without any errors. It was just using an external<br>
&gt;&gt; &gt; provider,<br>
&gt;&gt; &gt; which made me think it was an aaa issue, so I looked<br>
&gt;&gt; &gt; at the certificate exported from AD which had an expiry of 2063.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; I tried running engine-setup again, and this fixed the issue. I have no<br>
&gt;&gt; &gt; idea<br>
&gt;&gt; &gt; what happened along the way, I will check the logs. I notice it reports:<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; [ INFO  ] Upgrading CA<br>
&gt;&gt;<br>
&gt;&gt; engine-setup always emits this message. You might find more details in the<br>
&gt;&gt; setup logs regarding what it actually did.<br>
&gt;&gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; so it looks like it creates a cert. Why it would have created one with<br>
&gt;&gt; &gt; such<br>
&gt;&gt; &gt; a short expiry date is a mystery to me.<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; Hope this helps anyone who might come across this issue<br>
&gt;&gt;<br>
&gt;&gt; Thanks for the report!<br>
&gt;&gt;<br>
&gt;&gt; Can you please share both setup logs? Thanks.<br>
&gt;&gt;<br>
&gt;&gt; Also, most files should be backed up by engine-setup prior to being<br>
&gt;&gt; changed/removed. So you can check the backups. E.g.:<br>
&gt;&gt;<br>
&gt;&gt; # openssl x509 -in /etc/pki/ovirt-engine/ca.pem.<wbr>20160120160548 -noout<br>
&gt;&gt; -enddate<br>
&gt;&gt; notAfter=May 22 07:32:23 2025 GMT<br>
&gt;&gt; # openssl x509 -in /etc/pki/ovirt-engine/ca.pem -noout -enddate<br>
&gt;&gt; notAfter=Mar  6 09:46:44 2026 GMT<br>
&gt;&gt;<br>
&gt;&gt; Or,<br>
&gt;&gt;<br>
&gt;&gt; find /etc/pki/ovirt-engine -name &quot;*.cer*&quot; -o -name &quot;*.pem*&quot; | while<br>
&gt;&gt; read file; do echo $file $(openssl x509 -in $file -noout -enddate);<br>
&gt;&gt; done<br>
&gt;&gt;<br>
&gt;&gt; Best,<br>
&gt;&gt; --<br>
&gt;&gt; Didi<br>
&gt;<br>
&gt;<br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Didi<br>
</font></span></blockquote></div><br></div>