<div style="font-family: Helvetica; font-size: 13px;">Hi, Eli Qiao<div><br></div><div>If ca or client certs is wrong, I think client will get error before `client hello`.</div><div>I tested broken ca cert and client cert in my local environment.</div><div>See below logs.</div><div><br></div><div><div>yuanying@devstack:~/temp$ curl https://192.168.19.92:6443 --tlsv1.0 -v  --key ./client.key --cert ./client.crt --cacert ./ca.crt</div><div>* Rebuilt URL to: https://192.168.19.92:6443/</div><div>* Hostname was NOT found in DNS cache</div><div>*   Trying 192.168.19.92...</div><div>* Connected to 192.168.19.92 (192.168.19.92) port 6443 (#0)</div><div>* unable to use client certificate (no key found or wrong pass phrase?)</div><div>* Closing connection 0</div><div>curl: (58) unable to use client certificate (no key found or wrong pass phrase?)</div></div><div><br></div></div>
                <div><div><br></div><div>-- </div><div>OTSUKA, Motohiro</div><div>Sent with <a href="http://www.sparrowmailapp.com/?sig">Sparrow</a></div><div><br></div></div>
                 
                <p style="color: #A0A0A8;">On Wednesday, October 21, 2015 at 20:34, Qiao, Liyong wrote:</p>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->


<div>
<p style="margin: 0px;"><span lang="EN-US">Hello,<o:p></o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US">I need your help on k8s api tls_enabled mode.<o:p></o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US">Here’s my patch <a href="https://review.openstack.org/232421">
https://review.openstack.org/232421</a><o:p></o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US"><o:p> </o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US">It is always failed on gate, but it works in my setup.<o:p></o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US">Debug more I found that the ca cert return api return length with difference:<o:p></o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US"><o:p> </o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US">On my setup</span><span style="font-family:宋体">：</span><span lang="EN-US"><o:p></o:p></span></p>
<p style="margin: 0px;"><i><span lang="EN-US">10.238.157.49 - - [21/Oct/2015 19:16:17] "POST /v1/certificates HTTP/1.1" 201
<b><span style="color:red">3360<o:p></o:p></span></b></span></i></p>
<p style="margin: 0px;"><b><i><span lang="EN-US" style="color:red">…<o:p></o:p></span></i></b></p>
<p style="margin: 0px;"><i><span lang="EN-US">10.238.157.49 - - [21/Oct/2015 19:16:17] "GET /v1/certificates/d4bf6135-a3d0-4980-a785-e3f2900ca315 HTTP/1.1" 200
<b><span style="color:red">1357</span></b><o:p></o:p></span></i></p>
<p style="margin: 0px;"><span lang="EN-US"><o:p> </o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US">On gate:<o:p></o:p></span></p>
<p style="margin: 0px;"><i><span lang="EN-US"><o:p> </o:p></span></i></p>
<p align="left" style="text-align: left; margin: 0px;"><i><span lang="EN-US" style="color:black">127.0.0.1 - - [21/Oct/2015 10:59:40] "POST /v1/certificates HTTP/1.1" 201
</span></i><b><i><span lang="EN-US" style="color:red">3352<o:p></o:p></span></i></b></p>
<pre><i><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black">127.0.0.1 - - [21/Oct/2015 10:59:40] "GET /v1/certificates/a9aa1bbd-d624-4791-a4b9-e7a076c8bf58 HTTP/1.1" 200 </span></i><i><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:red">1349</span></i><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:red"><o:p></o:p></span></pre>
<pre><span lang="EN-US" style="color:red"><o:p> </o:p></span></pre>
<pre><span lang="EN-US" style="color:red">Misses 8 Bit.<o:p></o:p></span></pre>
<pre><span lang="EN-US" style="color:red"><o:p> </o:p></span></pre>
<pre><span lang="EN-US" style="color:black">I also print out the cert file content, but the length of both on gate and my setup are same.<o:p></o:p></span></pre>
<pre><span lang="EN-US" style="color:black">But failed on gate due to SSL exception.<o:p></o:p></span></pre>
<pre><span lang="EN-US" style="color:black">Does anyone know what will be the root cause?<o:p></o:p></span></pre>
<pre><span lang="EN-US" style="color:black"><o:p> </o:p></span></pre>
<p style="margin: 0px;"><span lang="EN-US"><o:p> </o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US"><o:p> </o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US">BR, Eli(Li Yong)Qiao<o:p></o:p></span></p>
<p style="margin: 0px;"><span lang="EN-US"><o:p> </o:p></span></p>
</div>


</div><div><div>__________________________________________________________________________</div><div>OpenStack Development Mailing List (not for usage questions)</div><div>Unsubscribe: <a href="mailto:OpenStack-dev-request@lists.openstack.org?subject:unsubscribe">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a></div><div><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a></div></div></div></span>
                 
                 
                 
                 
                </blockquote>
                 
                <div>
                    <br>
                </div>