我想在我公司的Openstack中使用Cloudify 3.1。
不幸的是,我得到了keystone身份验证失败的问题。 当我看到日志时,它说:“SSL3_GET_SERVER_CERTIFICATE:证书验证失败”
我认为是HTTPS导致失败。我看到下面的卷曲。
curl -i 'https://identity.example.com/v2.0/tokens' -X POST -H "Content-Type: application/json" -H "Accept: application/json" -H "User-Agent: python-novaclient" -d '{"auth": {"tenantName": "xxxx", "passwordCredentials": {"username": "xxxx", "password": "xxxxx"}}}'
HTTP/1.0 200 Connection Established
Proxy-agent: Apache
curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html
curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.
如何在不使用-k
或--insecure
?
或者,如果任何人都有使用openstack的经验,那么当安装Cloudify时,KEYSTONE正在使用HTTPS?
答案 0 :(得分:1)
在Cloudify 3.1中无法使用具有不安全SSL证书的Openstack服务。但是,在Cloudify 3.2中,可以直接传递--insecure(或ca_cert)标志以供Openstack客户端使用。
您可以在此处阅读此功能的文档: http://getcloudify.org/guide/3.2/plugin-openstack.html#openstack-configuration
因此,例如,要使用具有不安全证书的Nova服务,您的Openstack配置可能如下所示:
openstack_config:
...
custom_configuration:
nova_client:
insecure: true
希望这有帮助。
答案 1 :(得分:0)
由于多种原因,SSL证书可能无效。我甚至看到人们在更新证书后忘记重新加载Web服务器的地方。但是,它告诉您整体问题是什么 - 您需要一个正确安装的有效SSL证书。
在开发环境中使用curl -k
或curl --insecure
完全没问题。对于生产,您可以使用SSL Checker来测试SSL证书,并找出报告为无效的原因。
答案 2 :(得分:0)
最近,我看了cloudify的github。 他们正在解决我的问题,问题链接enter link description here
工作正在进行中。