<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Following our talk on TLS work items split,<o:p></o:p></p>
<p class="MsoNormal">We need to decide how will we validate/extract certificates Barbican TLS containers.<o:p></o:p></p>
<p class="MsoNormal">As we agreed on IRC, the first priority should be certificates fetching.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">TLS RST describes a new common module that will be used by LBaaS API and LBaaS drivers.<o:p></o:p></p>
<p class="MsoNormal">It’s proposed front-end API is currently:<o:p></o:p></p>
<p class="MsoNormal">1. Ensuring Barbican TLS container existence (used by LBaaS API)<o:p></o:p></p>
<p class="MsoNormal">2. Validating Barbican TLS container (used by LBaaS API)<o:p></o:p></p>
<p class="MsoNormal">   This API will also "register" LBaaS as a container's consumer in Barbican's repository.<o:p></o:p></p>
<p class="MsoNormal">   POST request:<o:p></o:p></p>
<p class="MsoNormal">   http://admin-api/v1/containers/{container-uuid}/consumers<o:p></o:p></p>
<p class="MsoNormal">   {<o:p></o:p></p>
<p class="MsoNormal">    "type": "LBaaS",<o:p></o:p></p>
<p class="MsoNormal">    "URL": "https://lbaas.myurl.net/loadbalancers/<lbaas_loadbalancer_id>/"<o:p></o:p></p>
<p class="MsoNormal">   }<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">3. Extracting SubjectCommonName and SubjectAltName information<o:p></o:p></p>
<p class="MsoNormal">    from certificates’ X509 (used by LBaaS front-end API)<o:p></o:p></p>
<p class="MsoNormal">   As for now, only dNSName (and optionally directoryName) types will be extracted from<o:p></o:p></p>
<p class="MsoNormal">    SubjectAltName sequence, <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">4. Fetching certificate’s data from Barbican TLS container<o:p></o:p></p>
<p class="MsoNormal">    (used by provider/driver code)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">5. Unregistering LBaaS as a consumer of the container when container is not<o:p></o:p></p>
<p class="MsoNormal">     used by any listener any more (used by LBaaS front-end API)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">So this new module’s front-end is used by LBaaS API/drivers and its back-end is facing Barbican API.<o:p></o:p></p>
<p class="MsoNormal">Please give your feedback on module API, should we merge 1 and 2?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I will be able to start working on the new module skeleton on Sunday morning. It will include API functions.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">TLS implementation patch has a spot where container validation should happen:
<a href="https://review.openstack.org/#/c/109035/3/neutron/db/loadbalancer/loadbalancer_dbv2.py line 518">
https://review.openstack.org/#/c/109035/3/neutron/db/loadbalancer/loadbalancer_dbv2.py line 518</a><o:p></o:p></p>
<p class="MsoNormal">After submitting the module skeleton I can make the TLS implementation patch to depend on that module patch and use its API.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">As an alternative we might leave this job to drivers, if common module will be not implemented<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">What are your thoughts/suggestions/plans?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
<p class="MsoNormal">Evg<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>