<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=US-ASCII" http-equiv="Content-Type">
<title>
GitLab
</title>



<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">

<h3>
Timo Aaltonen pushed to branch master-next
at <a href="https://salsa.debian.org/freeipa-team/dogtag-pki">FreeIPA packaging / dogtag-pki</a>
</h3>
<h4>
Commits:
</h4>
<ul>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0fa50bb906e47d3b479a70ddc4caac2c8714a44f">0fa50bb9</a></strong>
<div>
<span>by Dinesh Prasanth M K</span>
<i>at 2020-07-13T15:47:32-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">CI: Build custom Fedora image that has systemd installed

With latest Fedora container images (starting from fedora:30) it seems
that the systemd script files have been removed. This patch builds a custom
fedora container image with systemd package installed, giving us the right
systemd-enabled environment to run PKI tests

Signed-off-by: Dinesh Prasanth M K <dmoluguw@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/cdbbb079d2eba050fda8db6ba367f231f09fa322">cdbbb079</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T18:30:32-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Removed default max/min LDAP connections
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/43e4cd0fc03a2025036e7fa20d5b9a1bfedb12d1">43e4cd0f</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T18:30:32-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated pki-server acme-database-show

The pki-server acme-database-show has been modified to support
LDAP database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/5ce46a35ae85cd637e3c17c6c8c39964242b3365">5ce46a35</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T18:30:32-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated pki-server acme-database-mod

The pki-server acme-database-mod has been modified to support
LDAP database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/280c2c3735b449c810aeb18d904406b06af85791">280c2c37</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T18:30:32-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated pki-server acme-issuer-show

The pki-server acme-issuer-show has been modified to support
NSS issuer.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/6eec2d3ad5cec11c7d80dcea4303d5a54dda8b13">6eec2d3a</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T18:30:32-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated pki-server acme-issuer-mod

The pki-server acme-issuer-mod has been modified to support
NSS issuer.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/6f94b0d759ac699d5d8095f1298e84fe6e334c4d">6f94b0d7</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T20:30:26-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized CA install docs
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/2bd40bdf148f09884c91b8cf291429bea9e53ff8">2bd40bdf</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T20:30:26-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized KRA install docs
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/b17883dec0bc89d3ef37b13fa064af00c80790cd">b17883de</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T20:30:26-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized OCSP install docs
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/3b6cbc7d937903133efbf68a555a88aa7d2077d8">3b6cbc7d</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T20:30:26-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized TKS install docs
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/3b58dcda5b6359822da693a0ae3d6bbf056eece6">3b58dcda</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-13T20:30:26-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized TPS install docs
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/f946a3e3c5881e022b830493147539d00051b318">f946a3e3</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-14T15:16:46-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed podman deployment doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/9170acf282ada448b6218e05a6bf3833e63a371c">9170acf2</a></strong>
<div>
<span>by Christina Fu</span>
<i>at 2020-07-14T16:50:31-07:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bug1856368- pki cli kra-key-generate request is failing

This patch fixes the issue with failed kra-key-generate from pki cli.
Investigation revealed that the underlying JSS changes where
base64encodeSingleLine call into
   Base64.getEncoder().encodeToString(bytes);
does not tolerate null parameter.
Reference: Remove code dependency on Apache Commons Codec
https://github.com/dogtagpki/jss/commit/8de4440c5652f6f1af5b4b923a15730ba84f29e1#diff-b2e907677520a5d671a037de2e60e656L376

in PKI, since the caller for generateAsymmetricKey() in KeyClient.java
deliberately passed in "null" for transWrappedSessionKey, it is
safe to just skip over the following line when transWrappedSessionKey is null:
data.setTransWrappedSessionKey(Utils.base64encode(transWrappedSessionKey, false));

the CRMF issue reported in the same bug is very likley a separate issue
and should be filed in a separate bug.

https://bugzilla.redhat.com/show_bug.cgi?id=1856368
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/9ffb9925d8d0a86059f3ec300526cf5d5b4093d5">9ffb9925</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-14T19:19:49-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed error handling in PKIRealm

In commit 9de45c2812e9eaddaeef50dd422117cf57820581 the PKIRealm was
modified to wrap all exceptions that happen during authentication
and rethrow them as RuntimeExceptions in order to preserve the stack
trace for troubleshooting.

However, because of that when a client tries to authenticate with a
revoked certificate the server incorrectly reports it as an internal
server error instead of authentication failure.

To fix the problem, the PKIRealm has been modified to modified to
handle authentication failures (e.g. EInvalidCredentials) differently
from other internal server errors (e.g. LDAP exceptions).

For authentication failures PKIRealm will return null as described
in RealmBase documentation:
https://tomcat.apache.org/tomcat-9.0-doc/api/org/apache/catalina/realm/RealmBase.html

For internal server errors it will log the stack trace and to wrap
the exception and rethrow it as RuntimeException for troubleshooting.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/180d42e9b4a2eb3aa7970448f888fb50d0d14522">180d42e9</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T10:18:32-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed ACME authorization status

The ACMEChallengeProcessor.processChallenge() has been modified
to set the authorization status to invalid if the client fails
to fulfill the challenge.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/db7b73a44babf55cd9eca864227d49500cff6722">db7b73a4</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T10:18:32-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed ACME order status

The ACMEChallengeProcessor.processInvalidChallenge() has been
modified to set the order status to invalid if at least one of
the authorizations is invalid.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/8feeea95029e57ea9ba55b1123e7f3ae2ca1e48d">8feeea95</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T10:49:40-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed LDAPDatabase.getAuthorizationByChallenge()

The LDAPDatabase.getAuthorizationByChallenge() has been
modified to return the complete authorization data such
that if the authorization is updated and saved into the
database it will not unintentionally lose data.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/71fced30e069c143fe9c188523f3fa94ba6c1297">71fced30</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T10:49:40-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Removing incomplete ACME challenges

The code that finalizes ACME authorizations has been modified
to retain the completed challenge (either valid or invalid) and
remove the incomplete ones.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/ce689dfa43b4fc5475dfed039d379c1e653a8049">ce689dfa</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T11:40:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Cleaned up log messages in MessageFormatInterceptor
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/d23240d030e49edae1c76500f378011eab760c07">d23240d0</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T11:40:48-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed ACMEAuthorization.expirationTime handling

The code that uses ACMEAuthorization.expirationTime has been
modified to handle a possible null value.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/8edae3095a078204a946ec9736c83054b2685532">8edae309</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T11:40:48-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed ACMEOrder.expirationTime handling

The code that uses ACMEOrder.expirationTime has been modified
to handle a possible null value.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/ec9b44851bab48dd42512473f3e672e95c64a493">ec9b4485</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-15T19:10:37-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated ACME database configuration doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/885ba3f6cad5f9042bdce65f7b336e912365d882">885ba3f6</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T12:30:35-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed ACME authorization expiration time

Previously the expirationTime field in ACMEAuthorization is
always set when the object is created. According to RFC 8555
the value is only required when the authorization is valid,
so the code has been updated accordingly.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/2443d08aa0afc8d6fdb5635d6391d194e7e6395a">2443d08a</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T12:30:35-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed ACME order expiration time

Previously the expirationTime field in ACMEOrder is always set
when the object is created. According to RFC 8555 the value is
only required when the order is valid or pending, so the code
has been updated accordingly.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/91889f162cf64dafaf4bc48666cf958eb1f2efc0">91889f16</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T12:30:35-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added ACMEDatabase.removeExpiredAuthorizations()

The ACMEDatabase.removeExpiredAuthorizations() has been added
to remove expired authorization records from ACME database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/eec64fc4352305b5054bd06e96a749363ccbfe07">eec64fc4</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T12:30:35-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added ACMEDatabase.removeExpiredOrders()

The ACMEDatabase.removeExpiredOrders() has been added to remove
expired order records from ACME database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/b2215b72bae20ffc0b1879714a809d519b405022">b2215b72</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T12:30:35-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated ACME maintenance task

The ACME maintenance task has been updated to periodically remove
expired authorization and order records from ACME database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/87c0aef6ecb97a23dce0254c5e3efcf6a8430d35">87c0aef6</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T17:26:23-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added silent mode for pki-server acme-database-mod

The pki-server acme-database-mod has been modified to provide
a silent mode for configuring ACME database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/8cee2f93370d3c102a4808cd5d488dc804be1630">8cee2f93</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T17:26:23-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added silent mode for pki-server acme-issuer-mod

The pki-server acme-issuer-mod has been modified to provide a
silent mode for configuring ACME issuer.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/95e338caf67342face3c42e7e95a8443eabe726a">95e338ca</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-16T17:26:23-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated ACME database and issuer configuration docs

The ACME database and issuer configuration docs have
been modified to use the slient mode.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/f1e86ff0494c7541a322d3ed64fad449ea543feb">f1e86ff0</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T10:28:50-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEEngine.loadMetadata()

The ACMEEngine.loadMetadata() has been renamed into
initMetadata().
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/7eb2fc4838d2a0b4ee046aa888032abae8dcc831">7eb2fc48</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T10:29:38-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEEngine.loadDatabaseConfig()

The ACMEEngine.loadDatabaseConfig() has been merged into
initDatabase().
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/6772ba8e9724629ab534cfe24ca9b49959e3850e">6772ba8e</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T10:30:22-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEEngine.loadValidatorsConfig()

The ACMEEngine.loadValidatorsConfig() has been merged into
initValidators().
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0c1916ea6cab0ab8a1f0eeb7ff61c5dd19c7cc3c">0c1916ea</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T10:30:45-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEEngine.loadIssuerConfig()

The ACMEEngine.loadIssuerConfig() has been merged into
initIssuer().
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/3bda0a4feb7287b717f3d0e0118f93e5e1ac0fdd">3bda0a4f</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T10:31:52-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEEngine.loadSchedulerConfig()

The ACMEEngine.loadSchedulerConfig() has been merged into
initScheduler().
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/87ab6e3c60331fe96c742b14876380172be525bb">87ab6e3c</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T10:38:23-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEEngine.loadEngineConfig()

The ACMEEngine.loadEngineConfig() has been converted into
initMonitors().
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/249fae10d4dd945be9ced6f1713b926b056eacb8">249fae10</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-07-20T13:45:59-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix build with CMake out-of-source build change

Fedora 33 has introduced the following change proposal:

https://fedoraproject.org/wiki/Changes/CMake_to_do_out-of-source_builds

This makes CMake do out-of-source builds by default. However, Fedora has
opted to use the %{_vpath_builddir} macro as the location of the default
build directory, instead of the more standard (in the CMake community)
build/ directory. %{_vpath_builddir} expands to %{_target_platform},
giving a per-architecture build directory.

Replace build/ references with %{_vpath_builddir} in the RPM spec. In
the future, we could move %{__make} to %cmake_build instead.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/11024cd36f14e99d7a62d4304ce7cfcf43d0c250">11024cd3</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T13:42:55-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed pki-server acme-metadata/database/issuer-mod commands

The pki-server acme-metadata/database/issuer-mod commands have
been modified to use PKIServer.store_properties() instead of
pki.util.store_properties() to ensure the file permission is
set correctly.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/a3ef1aa885e9a81bd7efa3ef876824842593763f">a3ef1aa8</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T13:42:55-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added default ACME metadata.conf

The ACMEEngine and pki-server acme-metadata commands have
been modified to use the shared metadata.conf by default.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/bc899bec1957f7e338046fc17f4214e5a4d71b25">bc899bec</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T14:36:59-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added runtime dependency on systemd

The pki-server package has been modified to explicitly require
systemd as runtime dependency since systemd is no longer part
of Fedora container image:
https://docs.fedoraproject.org/en-US/minimization/
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/9ddb383239f92e9d738b4b4eb2e1bac24e6abdca">9ddb3832</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-07-20T15:45:07-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Support JDK8 and JDK11 RPM builds

Fedora 33 is moving to Java 11 as the default JDK version:

https://fedoraproject.org/wiki/Changes/Java11

This will make JDK11 the default JDK in this release of Fedora.

We need to support a generic JAVA_HOME based on OpenJDK, so move to
/usr/lib/jvm/jre-openjdk as the JRE_HOME path. This is always provided,
regardless of whether or not the JDK or JRE is installed. Additionally,
we set the minimum Java version based on what is available on the
system.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/1bc74857efc84538a9de6978ceb9a25a9fc0f07f">1bc74857</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-20T19:20:24-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed JAVA_OPTS parsing in PKISubsystem.run()

The PKISubsystem.run() parses JAVA_OPTS into a list of strings
and uses it as Java arguments. In some cases the list might
contain empty strings which can cause problems. The code has
been modified to remove empty strings from the list.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/3de067cf33f617c05c9b818080bbef738dd7f862">3de067cf</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-21T09:01:38-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Simplified ACME LDAP database parameters

The LDAPDatabase parameters have been simplified:
- basedn -> baseDN
- internaldb.ldapconn.host,port,secureConn -> url
- internaldb.ldapauth.authtype -> authType
- internaldb.ldapauth.bindDN -> bindDN
- internaldb.ldapauth.clientCertNickname -> nickname
- password.internaldb -> bindPassword

The old basedn parameter will continue to work but it has
been deprecated.

The internaldb.ldapauth.bindPWPrompt is no longer used so
it has been removed.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/ec612dbd04d9d5e4f1263925e9cb3d0a9562456b">ec612dbd</a></strong>
<div>
<span>by Coty Sutherland</span>
<i>at 2020-07-21T16:51:42-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix HTTP Request formatting in AdminConnection

AdminConnection's processRequest method creates a hand-rolled HTTP
request to the remote server. This is used by PKI Console when
authenticated as an administrator. Because of the recent CVE fix in
Tomcat (CVE-2020-1935), Tomcat will no longer accept \n (Line Feed)
terminated requests and headers, and instead reject them as a bad
request. We fix this by adding the missing and required CR, per HTTP
specification.

This fixes the following exception in PKIConsole:

    java.io.IOException: 400
        at com.netscape.admin.certsrv.connection.JSSConnection.readHeader(JSSConnection.java:537)
        at com.netscape.admin.certsrv.connection.JSSConnection.initReadResponse(JSSConnection.java:497)
        at com.netscape.admin.certsrv.connection.JSSConnection.sendRequest(JSSConnection.java:411)
        at com.netscape.admin.certsrv.connection.AdminConnection.processRequest(AdminConnection.java:788)
        at com.netscape.admin.certsrv.connection.AdminConnection.sendRequest(AdminConnection.java:681)
        at com.netscape.admin.certsrv.connection.AdminConnection.sendRequest(AdminConnection.java:646)
        at com.netscape.admin.certsrv.connection.AdminConnection.authType(AdminConnection.java:379)
        at com.netscape.admin.certsrv.CMSServerInfo.getAuthType(CMSServerInfo.java:128)

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0c41ac72c47f34b3dc1293768e656a03d3d283b5">0c41ac72</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-07-21T16:52:53-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Support exporting CA certificate from HSM installs

When installing an installation with subsystem SSL certificate residing
on the HSM, export will fail because the NSS DB isn't opened with the
specified HSM token. When the subsystem SSL certificate resides on the
HSM, when we go to export the CA certificate, we must explicitly specify
this token.

Otherwise, subsystem startup will fail with an error like:

    systemd[1]: Starting PKI Tomcat Server topology-02-CA...
    pki-server[72759]: Enter password for NHSM6000-OCS
    pki-server[72759]: ERROR: Certificate not found: NHSM6000-OCS:Server-Cert cert-topology-02-CA
    pki-server[72759]: ERROR: Command: pki -d /etc/pki/topology-02-CA/alias -C /tmp/tmpptxlpn4k/password.txt pkcs12-export --pkcs12 /tmp/tmp1idfd1am/sslserver.p12 --password-file /tmp/tmpc5y2bhjo/password.txt --no-key NHSM6000-OCS:Server-Cert cert-topology-02-CA
    systemd[1]: pki-tomcatd@topology-02-CA.service: Control process exited, code=exited status=255
    systemd[1]: pki-tomcatd@topology-02-CA.service: Failed with result 'exit-code'.

This is related to the earlier PR enforcing certificate verification
in PKIConnection, pr-#443.

Resolves: rh-bz#1857933

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/382de723e216870a1534ebacc51c427ba2f5a0d5">382de723</a></strong>
<div>
<span>by Dinesh Prasanth M K</span>
<i>at 2020-07-22T13:24:25-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix pylint issue in healthcheck

This patch fixes the pylint issue caught in our CI. This
is a regression of change introduced in freeipa-healthcheck:

https://github.com/freeipa/freeipa-healthcheck/commit/d247c6158169a4ff97cd35ac57fec4e355617c52#diff-3aa64e1b97b8e0bf584a86cbe79986c4

Signed-off-by: Dinesh Prasanth M K <dmoluguw@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/75fed9db697d2e51137cd8cd60d8402a123b4bca">75fed9db</a></strong>
<div>
<span>by Dinesh Prasanth M K</span>
<i>at 2020-07-22T13:48:47-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Print the SD name when executing pki-server status

Signed-off-by: Dinesh Prasanth M K <dmoluguw@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/08370498e120b5f2d880b4fe78cf19a488e8b8eb">08370498</a></strong>
<div>
<span>by Dinesh Prasanth M K</span>
<i>at 2020-07-22T13:48:47-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix pki-server status CLI to accept nuxwdog enabled service

This patch fixes pki-server to pick up the right systemd unit file
name if the nuxwdog is enabled on the PKI server.

Signed-off-by: Dinesh Prasanth M K <dmoluguw@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/951bad9d0aad4fd249472399e5c8fd2a10cb3ab4">951bad9d</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-22T14:53:53-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added ACMEEngineConfig

The ACMEEngineConfig has been added to encapsulate ACME engine
configuration such as the enabled flag.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/2a8e25fb2c02d7093bf9565b6bbd379faa5c9897">2a8e25fb</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-22T14:53:53-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEPolicy

The ACMEPolicy has been moved into org.dogtagpki.acme.server.
The enableWildcardIssuance field has been moved into a new
ACMEPolicyConfig class. The wildcard property in engine.conf
has been renamed into policy.wildcard.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/5cc193e645bd3a24664509760d13a11d445f8c87">5cc193e6</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-22T14:53:53-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Removed hard-coded ACME validity policies

The ACMEValidityConfig has been added to encapsulate the
validity configuration of ACME objects including nonces,
authorizations, and orders.

The hard-coded validity policies for ACME nonces, valid
authorizations, pending and valid orders have been
replaced with configurable properties in engine.conf.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/a93a65be0b1bcf94e004ba59c6a0c8a2c086936f">a93a65be</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-07-22T17:02:50-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Re-fix sanitization in CMSTemplate

When fixing CVE-2019-10179 originally in
8884b4344225bd6656876d9e2a58b3268e9a899b,
I had switched to Apache Commons Lang2's
sanitization framework. However, I didn't
enable the HTML sanitization necessary to
fix this CVE.

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/db703d1de043688421e70e0c94d90baae0e92e1c">db703d1d</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-22T18:44:10-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added sample ACME database URLs
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/6e10833110df629900294b3077158addf624f0b3">6e108331</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-22T19:48:35-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed ACME scheduler

The ACMEScheduler has been modified to no longer throw a
RuntimeException if a task execution fails such that the
task will be executed again in the next scheduled time.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/eb213bd09fc2e1191b3aaa5d9f8eeedbd85f3e5f">eb213bd0</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-23T12:58:06-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add sample PKI issuer URL and profile
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/8c41352aa8d1704b0690704df45b28a8fac03340">8c41352a</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-23T12:58:16-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated ACME install doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/6f18a954c0b364066ed515ecee8dcb10f75e3310">6f18a954</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-23T12:58:16-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed InMemoryDatabase.getOrdersByAuthorizationAndStatus()

The InMemoryDatabase.getOrdersByAuthorizationAndStatus() has
been modified to use String.equals() to compare order status.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/40bd67c353022a4c6391d9e3e2e6ec3b8a1eb862">40bd67c3</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-23T12:58:16-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated pki-server acme-database/issuer-mod

The pki-server acme-database/issuer-mod commands have been
modified to load the database.conf/issuer.conf template if
the database/issuer type was changed.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/f2641150a980fb42c290a82eb6a6acb8888068b7">f2641150</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-23T20:35:53-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed PKIServerFactory.create()

The PKIServerFactory.create() has been modified to check
whether the /etc/sysconfig/<instance> file exists before
trying to open it.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/28e19202b2c27db69cd1e3e8640976c3a347d900">28e19202</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-23T20:44:00-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized PKI server install docs
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/41b0226a945f33b986d7bae5a8369ada43ea26d8">41b0226a</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-27T17:12:24-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated log messages in PostgreSQLDatabase
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/46a66d65ab423bcd6756ed46bfa7e2ddd1fd67ae">46a66d65</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-27T17:12:33-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized ACME deployment on OpenShift doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/bf22510512870757d4070eac77fd407502683526">bf225105</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-07-28T14:52:20-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add TPS auditor

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/9da92ed353f7466e9f49679b9ab66c8ab6767217">9da92ed3</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2020-07-28T14:54:12-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move PrettyPrint{Cert,Crl} to PKI_LIB classpath

JDK since v1.6 supports passing a directory with a glob (*) after it to
include all JARs in that given directory on the classpath. That is the
mechanism used by pki_java_command_wrapper.in which we should reuse for
the two CLIs which don't use that wrapper.

Resolves: rh-bz#1854043

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/fd5222105813e100cfb5cb50e6d154d6306480db">fd522210</a></strong>
<div>
<span>by Dinesh Prasanth M K</span>
<i>at 2020-07-29T15:31:10-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">CI: Collect journalctl logs always during IPA tests

Signed-off-by: Dinesh Prasanth M K <dmoluguw@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/c8c55f989ac88e53d08ab39267ee82ba0f0ecb7a">c8c55f98</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-29T16:45:07-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added openshift-acme deployment doc

A new doc has been added for deploying openshift-acme with
PKI ACME responder as the certificate issuer.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/a0a06387da2f5fa0915a4602bdb4124b250d207a">a0a06387</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-29T17:45:10-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed CAInfoService.getKRAInfoClient()

The CAInfoService.getKRAInfoClient() and
CAService.getConnector() have been modified to use the
client certificate specified in the CA's KRA connector to
access KRA. If the client certificate is missing, it will
use the subsystem certificate instead.

The CAInfoService has also been modified to propagate
any exception during the above operation to the caller.

https://bugzilla.redhat.com/show_bug.cgi?id=1861911
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/038012850b303019b454ae3921684d36472c0746">03801285</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-29T22:18:44-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized ACME user doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/7b18448616a64071985cce1ecd50fae3376fc45f">7b184486</a></strong>
<div>
<span>by 06shalini</span>
<i>at 2020-07-30T20:59:57+05:30</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Changes done to run the upstream pytest-ansible tests on Fedora32 and with latest packages (#393)

* Changes done to run the upstream pytest-ansible tests on Fedora32 and with latest packages

- Changes includes:
- Change in .gitlab_ci.yml to spawn instance by using latest osp_provision.py
   [with PSI resource issues].
- Change in .gitlab_ci.yml to use Fedora 32 image.
- Addition of post_provision.yml to get latest repo.

Signed-off-by: Shalini Khandelwal <skhandel@redhat.com>

* Code cleanup of osp_provision.py

Signed-off-by: Shalini Khandelwal <skhandel@redhat.com>

Co-authored-by: Shalini Khandelwal <skhandel@redhat.com></pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/23ae8b29a9f6bf2a558eb184f0ed3077150c9bf2">23ae8b29</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T10:58:42-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored ACMEPolicyConfig

The retention policies in ACMEPolicyConfig have been moved
into ACMERetentionConfig. The configuration properties have
been renamed into policy.retention.<name>.<param>. The
ACMEValidityConfig has been renamed into ACMERetention.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/64b37227b3d10a7fddebd00c560e355365003ee7">64b37227</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T10:58:42-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added retention policies for ACME authorizations

The ACME responder has been modified to support retention
policies for pending and invalid authorizations.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/769069bb6a2c56f10d7263f1b7d79b560d102b9c">769069bb</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T10:58:42-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added retention policies for ACME orders

The ACME responder has been modified to support retention
policies for invalid, ready, and processing orders.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/64a83f58aeac1ebb3e6c75e52b7eb6cf5176ccf8">64a83f58</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T10:58:42-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added ACMEDatabase.removeExpiredCertificates()

The ACMEDatabase.removeExpiredCertificates() has been added
to remove expired certificates from ACME database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0c1cac7270c26c499c0934870b13b3935da358ad">0c1cac72</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T10:58:42-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added ACMECertificate

The ACMECertificate has been added to encapsulate certificate
records in ACME database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/d3957e6ca257277424ce0599408592a061eadca3">d3957e6c</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T10:58:42-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added retention policy for ACME certificates

The ACME responder has been modified to support retention policy
for certificate records in ACME database.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/4bbb201c5c1874c7c43651f0b02ddfc9b44cc40f">4bbb201c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2020-07-30T10:59:56-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing required targets for pki-acme-classes target

Parallel build fails because of the races caused by the missing
(not yet built) jars.

Fixes: https://pagure.io/dogtagpki/issue/3196
Signed-off-by: Stanislav Levin <slev@altlinux.org>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0cff9cd5090320e385acb787c005cba3f92e760a">0cff9cd5</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2020-07-30T13:08:14-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix instance nssdb directory ownership

There was a typo in code which sets the ownership
of NSSdb directory and its content. This results
in the group with the same gid as pkiuser uid
can control this directory.

Fixes: https://pagure.io/dogtagpki/issue/3195
Signed-off-by: Stanislav Levin <slev@altlinux.org>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/34807cb77039b240701f527d037a1b32ebe7ed36">34807cb7</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T16:33:20-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactored PKI_DEPLOYMENT_DEFAULT_SYMLINK_PERMISSIONS

The PKI_DEPLOYMENT_DEFAULT_SYMLINK_PERMISSIONS has been
replaced with pki.server.DEFAULT_LINK_MODE.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0aeacb09911623f79d20108ce96b2714095bdbf3">0aeacb09</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T16:33:20-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated log messages in PKIInstance
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/268c08ea4c07206bcd22a6c958ad395a00cd9842">268c08ea</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T16:33:20-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized ACME Podman doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/a287c3a02e3d812db231303c76f78a6cb82ab556">a287c3a0</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T16:33:20-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reorganized ACME install doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/e4c35cbc1e943801eec635114f9d6296113878f3">e4c35cbc</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T16:33:20-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated links to ACME config doc
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/fc95262d8e42e02fb5f02b3d1380c81d729b192d">fc95262d</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T16:33:20-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Restored ACME tech preview notification
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/bedf1adc9c618b372885b4ef288685684872f87b">bedf1adc</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T22:06:05-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Renamed value field in ACMENonce

The value field in ACMENonce has been renamed to id
for consistency.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/183558fa9df101442c27201f6c7fbd3fdfdd6044">183558fa</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T22:11:52-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Renamed nonce value variables in ACMEDatabase

The nonce value variables in ACMEDatabase have been renamed
to nonceID for consistency.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/63368b0f492e50f5a6fb0cb4778da8fed5a604bc">63368b0f</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-30T22:11:57-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Renamed nonce value column/attribute in ACME database

The nonce value column/attribute in ACME database
has been renamed to id for consistency.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/a1235c3e22867605a816c1ae844d2e2a8b645f50">a1235c3e</a></strong>
<div>
<span>by jmagne</span>
<i>at 2020-07-31T10:20:48-07:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address Bug 1462291 - CRL autoupdate from CS.cfg (#503)

This fix allows the admin to request that a change to this crl CS.cfg setting:

ca.crl.MasterCRL.autoUpdateInterval=xxx

This fix will allow the system to attempt to use the new value of auto update
immediately. The previous longstanding behavior was to have the new interval take affect,
AFTER the currently scheduled nextUpdate time.

What this fix does is allow the use of a new CS.cfg parameter:

ca.crl.MasterCRL.autoUpdateInterval.effectiveAtStart=true

This parameter must be inserted before a restart to allow this behavior to take place at all.
Without the param everything should be working as normal.

After changing the CS.cfg value, the server must be restarted.

At this point the delay time for the next update will be calculated based on the new auto update interval.

Previously the code would simply ignore the new calculated value and take whatever is already encoded into the
"nextUpdate" field of the crl.

This fix allows the new value to be accepted. Here are some caveats on how this thing behaves:

1. If the autoUpdate interval is made smaller , this thing works as expected, having the next update take place
in roughly the amount of time in the new interval.

2. If making the interval smaller, makes the calculated next update in the past, the update will occur now and then the
nextUpdate will be calculated with the new schedule..

3. If the admin makes the autoUpdate interval larger, the behavior is a little different.
Due to the fact that the calculations made with the new interval, is based off of starting with the time stamp
for "yesterday" or the very first daily update from yesterday, the new nextUPdate time calculated may be less
than simply adding the the new interval to the last update.

This fix was coded by allowing the current very comnplicated algorithm to calculate the nextUpdate do it's thing
while at the end of the process, this code simply chooses what is calculated instead of what is already encoded within
the crl's nextUpdate field.

Therefore if the new param is never set, nothing changes. This param should be used with care.

If the agent goes to the display crl page, the new value can easily be viewed as well as the debug log.

4. After the operation takes place the flag inside the server will be cleared and this feature will no longer
be attempted while the server is running.

5. The admin must clear the schedulUpdated setting before the restart to assure normal operation after the next restart.

Co-authored-by: Jack Magne <jmagne@localhost.localdomain></pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/607407e2641cf7f27009cf4ac2059043551ef53c">607407e2</a></strong>
<div>
<span>by Christina Fu</span>
<i>at 2020-07-31T11:40:54-07:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bug1805541 Doc for Certificate Transparency with embedded SCT

Created CertificateTransparency.adoc which provides documentation for
the Certificate Transparency feature for the RHCS Administrator's guide.

https://bugzilla.redhat.com/show_bug.cgi?id=1805541
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/7b6b6aa8fc8e8596b3065ee149bdc5fbbe06704e">7b6b6aa8</a></strong>
<div>
<span>by Christina Fu</span>
<i>at 2020-07-31T16:39:21-07:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">CertificateTransparency.adoc default mode is "disabled" instead of "enabled"
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0932b0eabfc77210492dc44927a3560c85b8c02f">0932b0ea</a></strong>
<div>
<span>by jmagne</span>
<i>at 2020-07-31T17:02:54-07:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Resolve: Bug 1454922 - [RFE] Need Ability to set the CRL This Update to be a Future Date when Generating a CRL. (#504)

This fix allows the admin to request this feature only by using the command line sslget utility to make such a request.

The result will be haviing the "thisUpdate" field of the generated crl set to some arbitrary date in the future.
The nextUpdate field will be calculated as normal by calculating that as an offset to the future thisUpdate value requested.

There is also a new CS.cfg value designed to simply disallow the use of the feature whateover:

ca.crl.MasterCRL=forbidFutureThisUpdateValue=true (which is by default)  will ignore any attempts to use this feature.

This feature does not as of yet support the GUI and will ONLY be available when ussing sslget to request a CRL update on demand.

Also there is a parameter to sslget that will allow the user to erase or cancel the whole custom future thisUpdate and
return crl processing to normal. Examples to follow:

Example 1, request an updated CRL with a custom future thisUpdateValue:

sslget -n "PKI Administrator for localhost.localdomain" -e "crlIssuingPoint=MasterCRL&signatureAlgorithm&waitForUpdate=true&clearCRLCache=true&customFutureThisUpdateDateValue=2020:9:22:13:0:0"  -v -d . -p ""  -r /ca/agent/ca/updateCRL localhost.localdomain:8443

Note the param for this feature is customFutureThisUpdateDateValue=<date>
The date format is this: 2020:9:22:13:0:0

The linux date utility can be used to make a date in this format. It's simply
year,month,day, hour, min ,sec, with min and sec optional.
The month is based on 1, with Jan = 1.

Example 2: clear the whole future thisUpdate an get back to normal:

sslget -n "PKI Administrator for localhost.localdomain" -e "crlIssuingPoint=MasterCRL&signatureAlgorithm&waitForUpdate=true&clearCRLCache=true&cancelCurCustomFutureThisUpdateValue=true"  -v -d . -p ""  -r /ca/agent/ca/updateCRL localhost.localdomain:8443

This will erase the current custom future thisUpdate and calculate the nextUpdate based on the actual current time.

This fix was done without affecting the complex calculations made to calculate update frequency. This only allows one, if they desire, to set thisUpdate to some futuristic time.

If a future thisUpdate time is chosen as in Ex 1, the nextUpdate time will be chosen based on that future date.

The Agent GUI can be used to display the CRL will reflect the new thisUpdate and nextUpdate values.

Co-authored-by: Jack Magne <jmagne@localhost.localdomain></pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/55d8a652eaf698d017c98b9d322c9e41cba723a0">55d8a652</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-31T19:46:29-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed PostgreSQL ACME database time zone (part 1)

The PostgreSQLDatabase has been modified to store timestamps
in UTC time zone.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/880a02d9bb2547e0f1b8f37e034888ee81fb5347">880a02d9</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-31T19:46:29-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed PostgreSQL ACME database time zone (part 2)

The PostgreSQL ACME database has been modified to use
timestamps with time zone.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/2a0a2fceeac4b0fba41086422dec7b8a9ae93b36">2a0a2fce</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-31T19:46:29-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fixed LDAP ACME database time zone

The LDAPDatabase ACME has been modified to store timestamps
in UTC time zone.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/4cfd4cc115598aa15f825ed2f31932b6cc95ab76">4cfd4cc1</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-31T19:46:29-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Cleaned up PostgreSQLDatabase

The PostgreSQLDatabase has been modified to call connect()
only in public methods implementing LDAPDatabase.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/b047c13247fbc7a0d330b598ed87dfec0bb26cb7">b047c132</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-07-31T21:16:44-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated version number to 10.9.0-1
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/c5db17c86c84a565e21d729fc714bc475e0786ee">c5db17c8</a></strong>
<div>
<span>by Dinesh Prasanth M K</span>
<i>at 2020-08-06T12:38:16-04:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix Secure connection issue when server is down

When the PKI server is down, the server is temporarily
brought up using a temporary SSL server cert. This cert
needs to be trusted to enable secure connection.

This patch:

* allows passes instance's nssdb as the client nssdb to
  trust the SSL server created during cert-fix (offline
  cert renewal process).
* Gets the hostname using socket instead of from env
  variable

Signed-off-by: Dinesh Prasanth M K <dmoluguw@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/f4b72edb5c703c0a8aae64ae07970407c83f656c">f4b72edb</a></strong>
<div>
<span>by Endi S. Dewata</span>
<i>at 2020-08-06T11:55:45-05:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Updated version number to 10.9.1
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/0522193e325f2ac5cd93c2a5e9cdf8a45d6a7a4f">0522193e</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2020-08-13T13:35:38+03:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Merge branch 'upstream-next' into master-next
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/commit/fbf3dcc4a57dd052b15b805597baec05af07ef23">fbf3dcc4</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2020-08-13T13:38:10+03:00</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">bump the release
</pre>
</li>
</ul>
<h4>30 changed files:</h4>
<ul>
<li class="file-stats">
<a href="#4b905b3ce8db4f70f4829d47fb4b4f852ff810a2">
.github/workflows/required-tests.yml
</a>
</li>
<li class="file-stats">
<a href="#9a2aa4db38d3115ed60da621e012c0efc0172aae">
CMakeLists.txt
</a>
</li>
<li class="file-stats">
<a href="#0b3cc8b828fd333d07b22c8f8cd7923f0bf75ea9">
base/acme/CMakeLists.txt
</a>
</li>
<li class="file-stats">
<a href="#45680823c211c17f33667b72b24512d2eae61bca">
base/acme/conf/engine.conf
</a>
</li>
<li class="file-stats">
<a href="#770f6efce9770f3dcdc8ff0655313bca2334f7a0">
base/acme/database/ldap/database.conf
</a>
</li>
<li class="file-stats">
<a href="#2b90e8da42abde5c1605767936beb0e202a3e02f">
base/acme/database/ldap/schema.ldif
</a>
</li>
<li class="file-stats">
<a href="#09e2e7949ea81561c8eec8bd61d7b74d4a27392a">
base/acme/database/postgresql/create.sql
</a>
</li>
<li class="file-stats">
<a href="#f88eee053fb2ebc8ec64730ea2a26bf82714ecc3">
base/acme/database/postgresql/statements.conf
</a>
</li>
<li class="file-stats">
<a href="#498f86c52b24f5138ab789b97583252a188ec87e">
<span class="new-file">
+
base/acme/src/main/java/org/dogtagpki/acme/ACMECertificate.java
</span>
</a>
</li>
<li class="file-stats">
<a href="#ea9353d1648a7cbe3c07a3aa7c3955089f131c3b">
base/acme/src/main/java/org/dogtagpki/acme/ACMENonce.java
</a>
</li>
<li class="file-stats">
<a href="#a17a3cb8539654ed6e9c2adef3123ca576f48261">
base/acme/src/main/java/org/dogtagpki/acme/database/ACMEDatabase.java
</a>
</li>
<li class="file-stats">
<a href="#5e831ad71af50ecaf98a689edf14db289c23c195">
base/acme/src/main/java/org/dogtagpki/acme/database/InMemoryDatabase.java
</a>
</li>
<li class="file-stats">
<a href="#7e3c3d62d988f7e26b4abd3137c39eb978a8511d">
base/acme/src/main/java/org/dogtagpki/acme/database/LDAPDatabase.java
</a>
</li>
<li class="file-stats">
<a href="#1acf49d2a16e773f07e9d9851ade895587a365c1">
base/acme/src/main/java/org/dogtagpki/acme/database/PostgreSQLDatabase.java
</a>
</li>
<li class="file-stats">
<a href="#25caf75bac59a0d20e46aeeb21a86c11f882bb9f">
base/acme/src/main/java/org/dogtagpki/acme/issuer/NSSIssuer.java
</a>
</li>
<li class="file-stats">
<a href="#8a7a1bbafa5e4fc05eaa7b3197f09cd3f565fec6">
base/acme/src/main/java/org/dogtagpki/acme/scheduler/ACMEMaintenanceTask.java
</a>
</li>
<li class="file-stats">
<a href="#e52719a0261b5d9a97b52002b812ebeb0895c3cf">
base/acme/src/main/java/org/dogtagpki/acme/scheduler/ACMEScheduler.java
</a>
</li>
<li class="file-stats">
<a href="#0342c699f443b1f87dd0fb0d041a663998c61f5e">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEAccountService.java
</a>
</li>
<li class="file-stats">
<a href="#9082578c65f37485d6743f82a263b2e31a202373">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEAuthorizationService.java
</a>
</li>
<li class="file-stats">
<a href="#2b31fa74bb89c80d600251867f56d66b8b96c214">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMECertificateService.java
</a>
</li>
<li class="file-stats">
<a href="#47f0196da5cce6d2949a2454bc8a860fc56548f5">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEChallengeProcessor.java
</a>
</li>
<li class="file-stats">
<a href="#243d352362007c885d71fbb517bd385f2e565fdf">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEChallengeService.java
</a>
</li>
<li class="file-stats">
<a href="#fe30397906f164c11d263718ee3bd1effb2e004d">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEEngine.java
</a>
</li>
<li class="file-stats">
<a href="#41f570b93000f9cc263acf77fb54f1967bf879fb">
<span class="new-file">
+
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEEngineConfig.java
</span>
</a>
</li>
<li class="file-stats">
<a href="#aa01fd5b6be0ed85090c49a4ae7fe5e122a68fa8">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEEngineConfigFileSource.java
</a>
</li>
<li class="file-stats">
<a href="#b06f3d028cc02923da8933796dd97c18947e876f">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEFinalizeOrderService.java
</a>
</li>
<li class="file-stats">
<a href="#0655ce8afb94931837a8c24b7b1a0553f54d0c5b">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMENewAccountService.java
</a>
</li>
<li class="file-stats">
<a href="#10dcec8c792934cbde3f02881205afb42755226c">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMENewNonceService.java
</a>
</li>
<li class="file-stats">
<a href="#ec94f8b2652404aa1801c59f60d3789221613f21">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMENewOrderService.java
</a>
</li>
<li class="file-stats">
<a href="#76c670a1879890082b873e958f592bb88ebade98">
base/acme/src/main/java/org/dogtagpki/acme/server/ACMEOrderService.java
</a>
</li>
</ul>
<h5>The diff was not included because it is too large.</h5>

</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #777;">

<br>
<a href="https://salsa.debian.org/freeipa-team/dogtag-pki/-/compare/1adc82257e6015af3ace7de8faa868db8ccc6310...fbf3dcc4a57dd052b15b805597baec05af07ef23">View it on GitLab</a>.
<br>
You're receiving this email because of your account on salsa.debian.org.
If you'd like to receive fewer emails, you can
adjust your notification settings.



</p>
</div>
</body>
</html>