<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi all,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Apologies up front for the long email :).  I just upgraded from Pulp 2.3 to 2.4 and I’m having an issue with Qpid over SSL.  Is anyone using Qpid over SSL (port 5671) successfully in pulp 2.4?  I don’t see much chatter about it, so I can’t
 find much info.  I’m almost out of ideas for troubleshooting, so any tips here are appreciated.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I ran pulp-qpid-ssl-cfg and pointed to the same CA cert and key as I used with Pulp 2.3.  So I have the same configuration and certs as I did with 2.3 which worked fine (config listed further below).  Anyway, I get the following ssl error
 when testing with openssl:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">$  openssl s_client -connect pulp.example.com:5671<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">verify error:num=19:self signed certificate in certificate chain<o:p></o:p></p>
<p class="MsoNormal">verify return:0<o:p></o:p></p>
<p class="MsoNormal">140594689586856:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1292:SSL alert number 42<o:p></o:p></p>
<p class="MsoNormal">140594689586856:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">$  openssl s_client -connect pulp.example.com:5671 -tls1<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">verify error:num=19:self signed certificate in certificate chain<o:p></o:p></p>
<p class="MsoNormal">verify return:0<o:p></o:p></p>
<p class="MsoNormal">140594689586856:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1292:SSL alert number 42<o:p></o:p></p>
<p class="MsoNormal">140594689586856:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">$  openssl s_client -connect pulp.example.com:5671 -tls1_1   # and same result for -tls1_2<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">CONNECTED(00000003)<o:p></o:p></p>
<p class="MsoNormal">139803025839784:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:345:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">  These are the same certificates used for the pulp server on apache 443, which is working fine.  I’m using an intermediary certificate as the CA for pulp and qpid.  i.e. it’s a sub-CA that is signed by our company’s own root CA.  When
 pulp-qpid-ssl-cfg asks for the CA cert, I’ve tried both the sub-CA cert by itself and also a chain that includes the root + sub-CA certs.  (The chain is what I’m currently using since the sub-CA cert by itself gives “unable to find local issuer certificate”
 because the root CA couldn’t be found.) <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">….My versions and configs…<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Pulp 2.4.3 server on CentOS 6.5<o:p></o:p></p>
<p class="MsoNormal">Qpidd version 0.26<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># /etc/qpid/qpidd.conf<o:p></o:p></p>
<p class="MsoNormal">auth=no<o:p></o:p></p>
<p class="MsoNormal">require-encryption=yes<o:p></o:p></p>
<p class="MsoNormal">ssl-require-client-authentication=yes<o:p></o:p></p>
<p class="MsoNormal">ssl-cert-db=/etc/pki/pulp/qpid/nss<o:p></o:p></p>
<p class="MsoNormal">ssl-cert-password-file=/etc/pki/pulp/qpid/nss/password<o:p></o:p></p>
<p class="MsoNormal">ssl-cert-name=broker<o:p></o:p></p>
<p class="MsoNormal">ssl-port=5671<o:p></o:p></p>
<p class="MsoNormal"># <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">When connecting with pulp-admin, I get a similar sslv3 certificate error with “certificate verify failed” for gofer.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Perhaps this is this a supported protocol issue with Qpid or NSS?  I can’t see how to specify supported protocols in the qpidd.conf file.  I’m wondering if NSS restricts protocols at all?  I don’t know much about it.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks for any help,<o:p></o:p></p>
<p class="MsoNormal">Jason<o:p></o:p></p>
<p class="MsoNormal">                                                                                             
<o:p></o:p></p>
</div>
<br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
Information in this e-mail may be confidential. It is intended only for the addressee(s) identified above. If you are not the addressee(s), or an employee or agent of the addressee(s), please note that any dissemination, distribution, or copying of this communication
 is strictly prohibited. If you have received this e-mail in error, please notify the sender of the error.<br>
</font>
</body>
</html>