<div dir="auto">Hi<div dir="auto"><br></div><div dir="auto">Thanks for your help.</div><div dir="auto"><br></div><div dir="auto">First I want to correct something, the <b>kolla_verify_tls_backend</b> was positioned to <b>false</b> from the beginning, while doing the first deployment with the commercial certificate.</div><div dir="auto"><br></div><div dir="auto">And yes I have <b>kolla_copy_ca_into_containers</b> positioned to <b>yes</b> from the beginning. And I can see in the nodes that there is a directory named certificates in every module's directory in /etc/kolla</div><div dir="auto"><br></div><div dir="auto">What do you mean by using openssl? Do you mean to execute the command inside a container and try to connect to keystone? If yes what is the correct command?</div><div dir="auto"><br></div><div dir="auto">It seems like something is missing to tell the client side to ignore the certificate validity, something like the --insecure parameter in the openstack cli.</div><div dir="auto"><br><div dir="auto">Regards.</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Nov 11, 2022, 21:21 Eugen Block <<a href="mailto:eblock@nde.ag">eblock@nde.ag</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I'm not familiar with kolla, but the docs also mention this option:<br>
<br>
kolla_copy_ca_into_containers: "yes"<br>
<br>
As I understand it the CA cert is required within the containers so  <br>
they can trust the self-signed certs. At least that's how I configure  <br>
it in a manually deployed openstack cloud. Do you have that option  <br>
enabled? If it is enabled, did you verify it with openssl tools?<br>
<br>
Regards,<br>
Eugen<br>
<br>
Zitat von wodel youchi <<a href="mailto:wodel.youchi@gmail.com" target="_blank" rel="noreferrer">wodel.youchi@gmail.com</a>>:<br>
<br>
> Some help please.<br>
><br>
> On Tue, Nov 8, 2022, 14:44 wodel youchi <<a href="mailto:wodel.youchi@gmail.com" target="_blank" rel="noreferrer">wodel.youchi@gmail.com</a>> wrote:<br>
><br>
>> Hi,<br>
>><br>
>> To deploy Openstack with a self-signed certificate, the documentation says<br>
>> to generate the certificates using kolla-ansible certificates, to configure<br>
>> the support of TLS in globals.yml and to deploy.<br>
>><br>
>> I am facing a problem, my old certificate has expired, I want to use a<br>
>> self-signed certificate.<br>
>> I backported my servers to an older date, then generated a self-signed<br>
>> certificate using kolla, but the deploy/reconfigure won't work, they say :<br>
>><br>
>> self._sslobj.do_handshake()\n  File \"/usr/lib64/python3.6/ssl.py\", line<br>
>> 648, in do_handshakeself._sslobj.do_handshake()\nssl.SSLError: [SSL:<br>
>> CERTIFICATE_VERIFY_FAILED certificate verify failed<br>
>><br>
>> PS : in my globals.yml i have : *kolla_verify_tls_backend: "yes"*<br>
>><br>
>> Regards.<br>
>><br>
<br>
<br>
<br>
<br>
</blockquote></div>