<div dir="ltr"><div>Thanks Clark for follow-up.</div><div></div><div>My explanation was not correct, and I should have said RSA + SHA1 no longer works.</div><div><br></div><div>Our problem was that the key generated by create keypair api in nova uses RSA + SHA1</div><div>thus ssh by tempest with that key no longer works since SHA1 was disabled in a recent update</div><div>in CentOS 9 Stream.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Mar 10, 2022 at 12:31 AM Clark Boylan <<a href="mailto:cboylan@sapwetik.org">cboylan@sapwetik.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, Mar 8, 2022, at 10:01 PM, Takashi Kajinami wrote:<br>
> Both of the two issues have been resolved and c9s integration jobs are <br>
> voting again.<br>
><br>
> As a side note, It seems the second issue within tempest tests was <br>
> caused by recent<br>
> change in openssl in CentOS9 Stream repo and rsa key is no longer <br>
> allowed for ssh.<br>
<br>
To clarify this is RSA no longer allowed with SSH or is it just RSA + SHA1? The RSA + SHA1 problem has been known for a bit due to Fedora making that update a while back. But RSA + SHA2 does work on Fedora. The issue there is some servers like the dropbear server in Cirros and the MINA SSHD used by Gerrit either don't support RSA + SHA2 or lack the required negotation bits to allow RSA + SHA2.<br>
<br>
Gerrit 3.6 should fix this, and I believe there is some effort to update Cirros to a newer version of dropbear which will support RSA + SHA2.<br>
<br>
Separately, it might be a good idea to try and push back on these systems to stop defaulting to RSA + SHA1 if that combination is not allowed. They should default to RSA + SHA2 if that is the only version of RSA that will function on their platform. Then if the server supports it but cannot negotiate it properly (this is the case with Gerrit) it should continue to function.<br>
<br>
> We worked around the issue by the feature in tempest to use a different <br>
> format but<br>
> I've submitted a feedback to know about current usage of rsa key[1].<br>
>  [1] <a href="https://bugs.launchpad.net/nova/+bug/1962726" rel="noreferrer" target="_blank">https://bugs.launchpad.net/nova/+bug/1962726</a><br>
><br>
<br>
</blockquote></div>