https://openstack.redhat.com/Securing_services

准备

   需要CA认证，include CN = <fqdn> for SSL towork.

安装IPA server

 修改文件 /etc/hostname

hostname -s：短主机名

  修改文件 /etc/hosts

hostname -i：IP地址

 /etc/sysconfig/network ：是redhat系统中网络配置文件。在ubuntu中是/etc/network/interfaces

 安装IPA client

如果机器上有dhclient运行，需要配置/etc/dhcp/dhcpclient-<nic>.conf，否则dhclient将重写/etc/resolv.conf，从而导致DNS解析失败

MYSQL

得到一个服务器证书和私钥。

 qpid

 nova和glance不允许SSL配置

Qpid-cpp-server-ssl

dashboard

  安装mod_ssl   更改配置文件   重启httpd

http://www.rackspace.com/blog/enabling-ssl-for-the-openstack-api/

为什么 SSL不能被简单的使能？

 在nova的配置文件中，当需要python来处理SSL交换，需要交付税务业绩。有大量软硬件可以处理这些交易。API服务需要回应地很快，故不适合将其内建。另外nova API代码是作为WSGI（网络服务器网关接口），即从网络或应用服务器上运行Python代码的特例

    使用像APache的网络服务器来提供OpenStack API。下面是用于运行OpenStack API代码的Apache的参考配置。首先保证apache2已安装，mod_ssl已使能。

 使能apache2提供的wsgi模块

a2enmod mod_wsgi

restart apache2

 创建把 Apache2系到nova-api服务的wsgi文件。nova使用python的pastdeploy system。若需要openstack的api-paste，则可在github上找一个。你可将wsgi保存在/opt/wsgi/osapi.wsgi中

 创建一个新的 站点/虚拟主机 定义文件，放在/etc/apache2/sites-available/osapi

 需要做如下更改来匹配你的环境：

WSGIScriptAlias / /path/to/wsgi

-该wsgi文件是在之前代码中创建，并用来减轻通过python paste deployment部署服务

-WSGIDaemonProcess nova-osapi 和 WSGI。。。。

-SSL cert必须是有效的CA证书。必须有server和任意你使用的client知道的CA。关于如何创建你自己的CA，ubuntu提供了文档和链接

https://help.ubuntu.com/community/OpenSSL

配置完后，关闭nova-api进程，重启Aoache，你的openstack API就在apache外运行，且所有要求都在端口8774上用SSL处理。所有nova-api提供的服务都必须用同样的方式来配置。 nova的api-paste.ini已经包含了配置信息。

http://www.gossamer-threads.com/lists/openstack/dev/37427

Enabling SSL For The OpenStack API using HTTPD andmod_wsgi

    很多都局限于 keystone-manage ssl_setup。

     为keystone配置SSL。

APACHE2+ MOD_WSGL + OPENSTACK: PT1.KEYSTONE

将Apache2作为openstack服务的前端，

1> 需要的脚本/文件已加入github。

      简单的追溯。需要如下的python脚本，处理一些配置文件，放在apache能读到的位置

Notice：对于keystone，根据github链接来配

github：Running Keystone in HTTPD。该配置不支持分块传输编码。因为mod_wsgi使用的实现和WSGI特定的局限。

首先，使能SSL支持。可选但高度推荐

           根据发布版安装 mod_nss。然后应用下面的patch，重启HTTPD。