<div dir="ltr">You should remove old data( project kek) in table kek_data(barbican), and your project kek will issued with your new master kek.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Ammad Syed <<a href="mailto:syedammad83@gmail.com">syedammad83@gmail.com</a>> 于2021年10月29日周五 下午4:04写道:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I have installed barbican and using it with openstack magnum. When I am using the default kek describe in document below, works fine and magnum cluster creation goes successful. </div><div><br></div><div><a href="https://docs.openstack.org/barbican/latest/install/barbican-backend.html" target="_blank">https://docs.openstack.org/barbican/latest/install/barbican-backend.html</a><br clear="all"><div><br></div><div>But when I generate a new kek with below command.</div><div><br></div><div><pre style="box-sizing:border-box;overflow:auto;font-family:Consolas,Monaco,"Andale Mono",monospace;font-size:0.8125rem;padding:0.9375rem;margin-top:0px;margin-bottom:0.625rem;line-height:1.42857;word-break:normal;color:rgb(51,51,51);background-color:rgb(245,245,245);border:0.0625rem solid rgb(237,237,237);border-radius:0px;white-space:pre-wrap"><code style="box-sizing:border-box;font-family:Consolas,Monaco,"Andale Mono",monospace;font-size:inherit;padding:0px;color:inherit;background-color:transparent;white-space:inherit;border-radius:0px">python3 -c "from cryptography.fernet import Fernet ; key = Fernet.generate_key(); print(key)"</code></pre></div><div><br></div><div>and put it in barbican.conf, the magnum cluster failed to create and I see below logs in barbican.</div><div><br></div>2021-10-29 12:53:28.932 568554 INFO barbican.plugin.crypto.simple_crypto [req-aaac01e9-82af-421b-b85a-ff998d904972 ad702ac807f44c73a32a9b7a795b693c d782069f335041138f0cb141fde9933f - default default] Software Only Crypto initialized<br>2021-10-29 12:53:28.932 568554 DEBUG barbican.model.repositories [req-aaac01e9-82af-421b-b85a-ff998d904972 ad702ac807f44c73a32a9b7a795b693c d782069f335041138f0cb141fde9933f - default default] Getting session... get_session /usr/lib/python3/dist-packages/barbican/model/repositories.py:364<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers [req-aaac01e9-82af-421b-b85a-ff998d904972 ad702ac807f44c73a32a9b7a795b693c d782069f335041138f0cb141fde9933f - default default] Secret creation failure seen - please contact site administrator.: cryptography.fernet.InvalidToken<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers Traceback (most recent call last):<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/cryptography/fernet.py", line 113, in _verify_signature<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     h.verify(data[-32:])<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/cryptography/hazmat/primitives/hmac.py", line 70, in verify<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     ctx.verify(signature)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/cryptography/hazmat/backends/openssl/hmac.py", line 76, in verify<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     raise InvalidSignature("Signature did not match digest.")<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers cryptography.exceptions.InvalidSignature: Signature did not match digest.<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers <br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers During handling of the above exception, another exception occurred:<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers <br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers Traceback (most recent call last):<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/api/controllers/__init__.py", line 102, in handler<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     return fn(inst, *args, **kwargs)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/api/controllers/__init__.py", line 88, in enforcer<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     return fn(inst, *args, **kwargs)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/api/controllers/__init__.py", line 150, in content_types_enforcer<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     return fn(inst, *args, **kwargs)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/api/controllers/secrets.py", line 456, in on_post<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     new_secret, transport_key_model = plugin.store_secret(<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/plugin/resources.py", line 108, in store_secret<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     secret_metadata = _store_secret_using_plugin(store_plugin, secret_dto,<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/plugin/resources.py", line 279, in _store_secret_using_plugin<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     secret_metadata = store_plugin.store_secret(secret_dto, context)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/plugin/store_crypto.py", line 96, in store_secret<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     response_dto = encrypting_plugin.encrypt(<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/plugin/crypto/simple_crypto.py", line 76, in encrypt<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     kek = self._get_kek(kek_meta_dto)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/barbican/plugin/crypto/simple_crypto.py", line 73, in _get_kek<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     return encryptor.decrypt(kek_meta_dto.plugin_meta)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/cryptography/fernet.py", line 76, in decrypt<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     return self._decrypt_data(data, timestamp, ttl, int(time.time()))<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/cryptography/fernet.py", line 125, in _decrypt_data<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     self._verify_signature(data)<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers   File "/usr/lib/python3/dist-packages/cryptography/fernet.py", line 115, in _verify_signature<br>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers     raise InvalidToken<br><div>2021-10-29 12:53:28.991 568554 ERROR barbican.api.controllers cryptography.fernet.InvalidToken</div><div><br></div><div>Any advise how to fix it ? </div><br></div><div>- Ammad</div></div>
</blockquote></div>