Cloudify with Openstack：SSL3_GET_SERVER_CERTIFICATE：证书验证失败

Question

我想在我的公司使用Cloudify 3.1和我的Openstack。

不幸的是，我有prolem，认证失败。 当我看到日志，它说，“SSL3_GET_SERVER_CERTIFICATE：证书验证失败”

我认为这是HTTPS，使它失败。我看到下面的卷曲。

curl -i 'https://identity.example.com/v2.0/tokens' -X POST -H "Content-Type: application/json" -H "Accept: application/json" -H "User-Agent: python-novaclient" -d '{"auth": {"tenantName": "xxxx", "passwordCredentials": {"username": "xxxx", "password": "xxxxx"}}}' 

HTTP/1.0 200 Connection Established 
Proxy-agent: Apache 

curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: 
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 
More details here: http://curl.haxx.se/docs/sslcerts.html 

curl performs SSL certificate verification by default, using a "bundle" 
of Certificate Authority (CA) public keys (CA certs). If the default 
bundle file isn't adequate, you can specify an alternate file 
using the --cacert option. 
If this HTTPS server uses a certificate signed by a CA represented in 
the bundle, the certificate verification probably failed due to a 
problem with the certificate (it might be expired, or the name might 
not match the domain name in the URL). 
If you'd like to turn off curl's verification of the certificate, use 
the -k (or --insecure) option. 

我怎样才能让不使用-k或--insecure卷曲成功吗？

或者如果任何人有OpenSTack的经验，那么Keystone在安装Cloudify时使用HTTPS？

Answer 1

Cloudify 3.1中不可能使用具有不安全SSL证书的Openstack服务。但是，在Cloudify 3.2中，可以直接传递--insecure（或ca_cert）标志以供Openstack客户端使用。

可以读取文档，此功能在这里： http://getcloudify.org/guide/3.2/plugin-openstack.html#openstack-configuration

因此，例如，使用诺瓦服务与不安全的证书，您的OpenStack的配置可能是这个样子：

openstack_config: 
    ... 
    custom_configuration: 
    nova_client: 
     insecure: true 

希望这有助于。

Answer 2

由于多种原因，SSL证书可能无效。我甚至看到在更新证书后人们忘记了重新加载Web服务器的位置。但是，它告诉你什么是总体问题 - 您需要一个正确安装的有效SSL证书。

使用curl -k或curl --insecure在开发环境中是完美的。对于生产，您可以使用SSL Checker来测试SSL证书，并找出它被报告为无效的原因。

Answer 3

最近，我看了cloudify的github。 他们正在解决我的问题，问题链接enter link description here

工作正在进行中。