
<div dir="ltr"><div><div><div>Hi Rob <br></div>Thanks for pointing to above patch. The problem was that it could not verify ca certificate. I was trying to   pass CA root certificate by --os_cacert parameter but it didn't work.  Copying CA root certificate to /etc/pki/ca-trust/source/anchors and enbaling update-ca-trust did the trick.<br><br></div>Cheers<br></div>Kashif<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 4, 2014 at 9:14 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">mohammad kashif wrote:<br>

> Hi<br>

> I am trying to setup ssl enabled keystone using external CA<br>

><br>

> my keystone.conf settings regarding ssl are<br>

><br>

> [signing]<br>

><br>

> certfile=/etc/grid-security/cert.pem<br>

><br>

> keyfile=/etc/grid-security/key.pem<br>

><br>

> ca_certs=/etc/grid-security/certificates/UKeScienceRoot-2007.pem<br>

><br>

> key_size=2048<br>

><br>

> cert_subject=< DN of cert><br>

><br>

><br>

> [ssl]<br>

><br>

> enable=True<br>

><br>

> certfile=/etc/grid-security/cert.pem<br>

><br>

> keyfile=/etc/grid-security/key.pem<br>

><br>

> ca_certs=/etc/grid-security/certificates/UKeScienceRoot-2007.pem<br>

><br>

> cert_subject=<DN of Cert><br>

><br>

><br>

> I commented out "ca_key" parameter which I think not needed for external<br>

> ca certificate .<br>

><br>

> I can query keystone on https endpoint with --insecure option but<br>

> without --insecure option, it is failing with this error<br>

><br>

> INFO:urllib3.connectionpool:Starting new HTTPS connection (1): 192.168.31.1<br>

> SSL exception connecting to <a href="https://192.168.31.1:35357/v2.0/users" target="_blank">https://192.168.31.1:35357/v2.0/users</a><br>

><br>

>  I alsto tried with --os_cacert option.<br>

><br>

> I am using openstack icehouse.<br>

><br>

><br>

> Can some one help me in troubleshooting this problem ?<br>

<br>

</div></div>Yes, unfortunately right now keystone doesn't display the actual<br>

problem, just that one has occurred. This is being addressed in<br>

<a href="https://review.openstack.org/#/c/129769/" target="_blank">https://review.openstack.org/#/c/129769/</a> and it is probably worthwhile<br>

to make this one-line change to see exactly what is going on.<br>

<br>

Were I to guess it's because you're using the IP address rather than the<br>

FQDN. The host you request needs to match the CN in the subject of the<br>

certificate.<br>

<span class="HOEnZb"><font color="#888888"><br>

rob<br>

</font></span></blockquote></div><br></div>