
John,<br>I am confused.<br><br>I  will be  grateful if you could specify the sequence of commands to be run after "make destroycerts".<br><br><br>Note that ::<br><br>a)<br>Running JUST "make client" generates "client.pem" and "ca.pem", but no "server.pem".<br>

<br>b)<br>Running JUST "make" generates "server.pem" and "ca.pem", but no "client.pem".<br><br><br><br><div class="gmail_quote">On Tue, Jan 8, 2013 at 1:44 AM, John Dennis <span dir="ltr"><<a href="mailto:jdennis@redhat.com" target="_blank">jdennis@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 01/07/2013 02:41 PM, Ajay Garg wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Upon restarting, it shows a "missing server.pem" error.<br>

I reckon that we need to run "make server" too at some point of time (so<br>

that "server.pem" gets generated after "make destroycerts").<br>

</blockquote>

<br></div>

make destroycerts should have removed all the pem files and keys. After running make again it will generate all new files. client has a dependency on ca and server files so it should have created a new ca, new server key and cert, a new client cert. Did it?<br>


<br>

Just to be clear, your client needs to trust the CA that signed your server cert and the server needs to trust the CA that signed your client cert. Typically those are located on two different machines. Make sure those line up or you're doomed. It's not clear to me which machines you're running these commands on and where you're copying the resulting files, but that's critical to get right. You can  use the same CA to sign both the server cert and the client cert, but that's not a requirement, it just helps simplify the deployment a tad bit.<div class="im">

<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

HOWEVER, I am now confused which "ca.pem" to consider, the one generated<br>

via "make server", or the one generated via "make client"?<br>

</blockquote>

<br></div>

Argh... you really need to be much more clear with what you're doing. If you're running the cert creation commands on different machines and leaving the results on that machine this will never work.<br>

<br>

Make sure you understand the RELATIONSHIP BETWEEN A CERTIFICATE AND IT'S SIGNER (issuing CA) and how that translates to the configuration parameters for each software component (see above).<div class="HOEnZb"><div class="h5">

<br>

<br>

-- <br>

John Dennis <<a href="mailto:jdennis@redhat.com" target="_blank">jdennis@redhat.com</a>><br>

<br>

Looking to carve out IT costs?<br>

<a href="http://www.redhat.com/carveoutcosts/" target="_blank">www.redhat.com/carveoutcosts/</a><br>

</div></div></blockquote></div><br><br clear="all"><br>-- <br>Regards,<br>Ajay<br>