<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jul 20, 2016 at 12:29 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Rob Crittenden wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Andrey Pavlov wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
When I ran devstack with SSL I found a bug and tried to fix it -<br>
<a href="https://review.openstack.org/#/c/242812/" rel="noreferrer" target="_blank">https://review.openstack.org/#/c/242812/</a><br>
But no one agree with me.<br>
Try to apply this patch - it may help.<br>
Also there is a chance that new bugs present in devstack that<br>
prevented to install it with SSL.<br>
</blockquote>
<br>
Seeing how some other things in your local.conf might help but when I<br>
tried to reproduce it I got the same error and it failed because Apache<br>
didn't have an SSL listener on 443.<br>
<br>
I'm not sure I'd recommend direct SSL in any case. I'd recommend the<br>
tls-proxy service instead. Note that I'm pretty sure it has the same<br>
problem: it hasn't been updated to handle port 443 for Keystone.<br>
<br>
I'm working on switching from stud to mod_proxy if you want to take a<br>
look and this problem is fixed there, <a href="https://review.openstack.org/301172" rel="noreferrer" target="_blank">https://review.openstack.org/301172</a><br>
<br>
I'll see about adding a SSL listener to Keystone for the USE_SSL case in<br>
the next few days.<br>
<br>
And yeah, it's a moving target. I have an experimental gate test for<br>
tlsproxy but it has to be requested explicitly. My plan is to enable it<br>
as non-voting once the mod_proxy changes land so it will at least be<br>
more obvious when things break (or maybe we can making it voting).<br>
</blockquote>
<br></span>
Fixing Keystone is easy. An Apache VirtualHost for 443 needs to be added.<br>
<br>
But I found another, deeper problem: cinder won't listen on SSL. When they switched to using oslo_service for WSGI they completely removed the ability to use SSL. See bug <a href="https://bugs.launchpad.net/cinder/+bug/1590901" rel="noreferrer" target="_blank">https://bugs.launchpad.net/cinder/+bug/1590901</a><div class="HOEnZb"><div class="h5"><br>
<br>
rob<br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</div></div></blockquote></div><br>Problems like this should make us wonder why we're reimplementing basic functionality like TLS termination. Existing wsgi containers (uwsgi, gunicorn, and apache) all handle TLS termination just fine.<br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">- Brant<br></div></div>
</div></div>