<div dir="ltr">Hi Peter,<div><br>When removing the certificates and keys for dhcp02, the server fails to start with the following:</div><div><br></div><div>2026-04-30 08:23:06.698 ERROR [kea-dhcp4.ha-hooks/2628056.139838400072704] HA_CONFIGURATION_FAILED failed to configure High Availability hooks library: bad TLS config for server secondary: load of private key file '/var/lib/kea/dhcp02_kea_ha_key.pem' failed: No such file or directory<br>2026-04-30 08:22:36.226 ERROR [kea-dhcp4.ha-hooks/2628022.140280840465408] HA_CONFIGURATION_FAILED failed to configure High Availability hooks library: bad TLS config for server secondary: load of cert file '/var/lib/kea/dhcp02_kea_ha_cert.pem' failed: No such file or directory<br></div><div><br></div><div>Therefore, it doesn't seem possible to remove these files without adjustment of the config, however since this is a HA setup the config is required to be the same on both machines.</div><div><br>With that in mind, how are we to remove the private key material from the machines that should not require it?</div><div><br></div><div>Regards,</div><div>Fred</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, 30 Apr 2026 at 09:14, Peter Davies <<a href="mailto:peterd@isc.org">peterd@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Frederick,<br>
    When acting as a server, Kea Server 1 presents the server1 <br>
certificate to the<br>
client (Kea Server 2), who then uses the trust_anchor to verify it.<br>
<br>
Kea Server 1 uses the server1 private key to sign data during the <br>
handshake and<br>
to  prove it owns that certificate.<br>
<br>
You have require-client-certs": true, defined - So when acting as a client,<br>
Kea Server 1 will present the server1 certificate to the server (Kea <br>
Server 2),<br>
who then uses the trust_anchor to verify it.<br>
<br>
Therefore /usr/lib/kea/server1_cert.pem" and <br>
/usr/lib/kea/server1_key.pem need<br>
only exist on Kea Server 1<br>
<br>
The same for Kea Server 2's certificate and key files.<br>
<br>
There should be no problem with having all the files on both servers.<br>
<br>
/Peter<br>
<br>
On 29/04/2026 10.35, Frederick Bloggingtons wrote:<br>
> require-client-certs": true,<br>
<br>
-- <br>
Peter Davies<br>
Support Engineer<br>
Internet Systems Corporation<br>
<br>
-- <br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
To unsubscribe visit <a href="https://lists.isc.org/mailman/listinfo/kea-users.Kea-users@lists.isc.org" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/kea-users.<br>
Kea-users@lists.isc.org</a><br>
</blockquote></div>