<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]--><style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph

        {mso-style-priority:34;

        margin-top:0in;

        margin-right:0in;

        margin-bottom:0in;

        margin-left:.5in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

p.msochpdefault, li.msochpdefault, div.msochpdefault

        {mso-style-name:msochpdefault;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Calibri","sans-serif";}

span.emailstyle17

        {mso-style-name:emailstyle17;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hi John,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If the user already has an SSL certificate that was acquired outside of the barbican Ordering system, how can he store it securely in Barbican as a SSL Certificate?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The Container stored this information in a very generic way, I think that there should be an API that formalizes a specific way in which SSL certificates can

 be stored and read back as SSL Certificates and not as loosely coupled container structure.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">This such API should have RBAC that allows getting back only the public part of an SSL certificate vs. allowing to get back all the details of the SSL certificate.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">-Sam.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> John Wood [mailto:john.wood@RACKSPACE.COM]

<br>

<b>Sent:</b> Thursday, May 01, 2014 11:28 PM<br>

<b>To:</b> OpenStack Development Mailing List (not for usage questions); os.vbvs@gmail.com<br>

<b>Subject:</b> Re: [openstack-dev] [Neutron] [LBaaS][VPN][Barbican] SSL cert implementation for LBaaS and VPN<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">Hello Samuel,

<o:p></o:p></span></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">Just noting that the link below shows current-state Barbican. We are in the process of designing SSL certificate support for Barbican via blueprints such as this

 one: <a href="https://wiki.openstack.org/wiki/Barbican/Blueprints/ssl-certificates" target="_blank">https://wiki.openstack.org/wiki/Barbican/Blueprints/ssl-certificates</a><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">We intend to discuss this feature in Atlanta to enable coding in earnest for Juno.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">The Container resource is intended to capture/store the final certificate details.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">Thanks,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">John<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"><o:p> </o:p></span></p>

<div>

<div class="MsoNormal" align="center" style="text-align:center"><span style="color:black">

<hr size="2" width="100%" align="center">

</span></div>

<div id="divRpF223864">

<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> Samuel Bercovici [SamuelB@Radware.com]<br>

<b>Sent:</b> Thursday, May 01, 2014 12:50 PM<br>

<b>To:</b> OpenStack Development Mailing List (not for usage questions); <a href="mailto:os.vbvs@gmail.com">

os.vbvs@gmail.com</a><br>

<b>Subject:</b> Re: [openstack-dev] [Neutron] [LBaaS][VPN][Barbican] SSL cert implementation for LBaaS and VPN</span><span style="color:black"><o:p></o:p></span></p>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hi Vijay,</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I have looked at the Barbican APIs –

<a href="https://github.com/cloudkeep/barbican/wiki/Application-Programming-Interface" target="_blank">

https://github.com/cloudkeep/barbican/wiki/Application-Programming-Interface</a></span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I was no able to see a “native” API that will accept an SSL certificate (private key, public key, CSR, etc.) and will store it.</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">We can either store the whole certificate as a single file as a secret or use a container and store all the certificate parts as secrets.</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I think that having LBaaS reference Certificates as IDs using some service is the right way to go so this might be achived by either:</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoListParagraph" style="text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">1.</span><span style="font-size:7.0pt;color:#1F497D">      

</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Adding to Barbican and API to store / generate certificates</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoListParagraph" style="text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">2.</span><span style="font-size:7.0pt;color:#1F497D">      

</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Create a new “module” that might start by being hosted in neutron or keystone that will allow to manage certificates and will use Barbican behind the scenes to store them.</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoListParagraph" style="text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">3.</span><span style="font-size:7.0pt;color:#1F497D">      

</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Decide on a container structure to use in Babican but implement the way to access and arrange it as a neutron library</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Was any decision made on how to proceed?</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Regards,</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                -Sam.</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> Vijay B [<a href="mailto:os.vbvs@gmail.com">mailto:os.vbvs@gmail.com</a>]

<br>

<b>Sent:</b> Wednesday, April 30, 2014 3:24 AM<br>

<b>To:</b> OpenStack Development Mailing List (not for usage questions)<br>

<b>Subject:</b> [openstack-dev] [Neutron] [LBaaS][VPN] SSL cert implementation for LBaaS and VPN</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

<div>

<p class="MsoNormal"><span style="color:black">Hi,<o:p></o:p></span></p>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">It looks like there are areas of common effort in multiple efforts that are proceeding in parallel to implement SSL for LBaaS as well as VPN SSL in neutron.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Two relevant efforts are listed below:<o:p></o:p></span></p>

</div>

<div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"><a href="https://review.openstack.org/#/c/74031/" target="_blank">https://review.openstack.org/#/c/74031/</a>   (<a href="https://wiki.openstack.org/wiki/Neutron/LBaaS/SSL" target="_blank">https://wiki.openstack.org/wiki/Neutron/LBaaS/SSL</a>)<o:p></o:p></span></p>

</div>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"><a href="https://review.openstack.org/#/c/58897/" target="_blank">https://review.openstack.org/#/c/58897/</a>   (<a href="https://blueprints.launchpad.net/openstack/?searchtext=neutron-ssl-vpn" target="_blank">https://blueprints.launchpad.net/openstack/?searchtext=neutron-ssl-vpn</a>)<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Both VPN and LBaaS will use SSL certificates and keys, and this makes it better to implement SSL entities as first class citizens in the OS world. So, three points need to be discussed here:<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">1. The VPN SSL implementation above is putting the SSL cert content in a mapping table, instead of maintaining certs separately and referencing them using IDs. The LBaaS implementation stores certificates in a

 separate table, but implements the necessary extensions and logic under LBaaS. We propose that both these implementations move away from this and refer to SSL entities using IDs, and that the SSL entities themselves are implemented as their own resources,

 serviced either by a core plugin or a new SSL plugin (assuming neutron; please also see point 3 below).<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">2. The actual data store where the certs and keys are stored should be configurable at least globally, such that the SSL plugin code will singularly refer to that store alone when working with the SSL entities.

 The data store candidates currently are Barbican and a sql db. Each should have a separate backend driver, along with the required config values. If further evaluation of Barbican shows that it fits all SSL needs, we should make it a priority over a sqldb

 driver.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">3. Where should the primary entries for the SSL entities be stored? While the actual certs themselves will reside on Barbican or SQLdb, the entities themselves are currently being implemented in Neutron since they

 are being used/referenced there. However, we feel that implementing them in keystone would be most appropriate. We could also follow a federated model where a subset of keys can reside on another service such as Neutron. We are fine with starting an initial

 implementation in neutron, in a modular manner, and move it later to keystone.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Please provide your inputs on this.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Thanks,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Regards,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Vijay<o:p></o:p></span></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</body>

</html>