source: mod_gnutls/src/gnutls_config.c @ 0e3f8c6

asynciodebian/masterproxy-ticket
Last change on this file since 0e3f8c6 was 0e3f8c6, checked in by Fiona Klute <fiona.klute@…>, 3 years ago

Create module-wide singleton watchdog during post_config

  • Property mode set to 100644
File size: 39.8 KB
RevLine 
[104e881]1/*
[46b85d8]2 *  Copyright 2004-2005 Paul Querna
[e021722]3 *  Copyright 2008, 2014 Nikos Mavrogiannopoulos
[e183628]4 *  Copyright 2011 Dash Shendy
[3c123cd]5 *  Copyright 2015-2016 Fiona Klute
[46b85d8]6 *
7 *  Licensed under the Apache License, Version 2.0 (the "License");
8 *  you may not use this file except in compliance with the License.
9 *  You may obtain a copy of the License at
10 *
11 *      http://www.apache.org/licenses/LICENSE-2.0
12 *
13 *  Unless required by applicable law or agreed to in writing, software
14 *  distributed under the License is distributed on an "AS IS" BASIS,
15 *  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 *  See the License for the specific language governing permissions and
17 *  limitations under the License.
18 */
19
[c39ae1a]20#include "gnutls_config.h"
[46b85d8]21#include "mod_gnutls.h"
[333bbc7]22#include "gnutls_ocsp.h"
[2aaf4f5]23#include "apr_lib.h"
[031acac]24#include <gnutls/abstract.h>
25
26#define INIT_CA_SIZE 128
[46b85d8]27
[55dc3f0]28#ifdef APLOG_USE_MODULE
29APLOG_USE_MODULE(gnutls);
30#endif
31
[259e835]32static int pin_callback(void *user, int attempt __attribute__((unused)),
33                        const char *token_url __attribute__((unused)),
34                        const char *token_label, unsigned int flags,
35                        char *pin, size_t pin_max)
[031acac]36{
37    mgs_srvconf_rec *sc = user;
38
39    if (sc->pin == NULL || flags & GNUTLS_PIN_FINAL_TRY ||
40        flags & GNUTLS_PIN_WRONG) {
41        return -1;
42    }
43
44    if (token_label && strcmp(token_label, "SRK") == 0) {
45         snprintf(pin, pin_max, "%s", sc->srk_pin);
46    } else {
47         snprintf(pin, pin_max, "%s", sc->pin);
48    }
49    return 0;
50}
51
[7bebb42]52static int load_datum_from_file(apr_pool_t * pool,
[031acac]53                                const char *file, gnutls_datum_t * data)
54{
[e183628]55    apr_file_t *fp;
56    apr_finfo_t finfo;
57    apr_status_t rv;
58    apr_size_t br = 0;
[7bebb42]59
[e183628]60    rv = apr_file_open(&fp, file, APR_READ | APR_BINARY,
[031acac]61                       APR_OS_DEFAULT, pool);
[e183628]62    if (rv != APR_SUCCESS) {
[031acac]63        return rv;
[e183628]64    }
[7bebb42]65
[e183628]66    rv = apr_file_info_get(&finfo, APR_FINFO_SIZE, fp);
[7bebb42]67
[e183628]68    if (rv != APR_SUCCESS) {
[031acac]69        return rv;
[e183628]70    }
[7bebb42]71
[e183628]72    data->data = apr_palloc(pool, finfo.size + 1);
73    rv = apr_file_read_full(fp, data->data, finfo.size, &br);
[7bebb42]74
[e183628]75    if (rv != APR_SUCCESS) {
[031acac]76        return rv;
[e183628]77    }
78    apr_file_close(fp);
[7bebb42]79
[e183628]80    data->data[br] = '\0';
81    data->size = br;
[7bebb42]82
[e183628]83    return 0;
[46b85d8]84}
85
[031acac]86
[a2b4ab6]87
88/**
89 * Clean up the various GnuTLS data structures allocated by
[e2ba939]90 * mgs_load_files()
91 */
92static apr_status_t mgs_pool_free_credentials(void *arg)
93{
94    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) arg;
95
96    if (sc->certs)
97    {
98        gnutls_certificate_free_credentials(sc->certs);
99        sc->certs = NULL;
100    }
101
102    if (sc->anon_creds)
103    {
104        gnutls_anon_free_server_credentials(sc->anon_creds);
105        sc->anon_creds = NULL;
106    }
107
108#ifdef ENABLE_SRP
109    if (sc->srp_creds)
110    {
111        gnutls_srp_free_server_credentials(sc->srp_creds);
112        sc->srp_creds = NULL;
113    }
114#endif
115
116    if (sc->dh_params)
117    {
118        gnutls_dh_params_deinit(sc->dh_params);
119        sc->dh_params = NULL;
120    }
121
122    for (unsigned int i = 0; i < sc->certs_x509_chain_num; i++)
123    {
124        gnutls_pcert_deinit(&sc->certs_x509_chain[i]);
125        gnutls_x509_crt_deinit(sc->certs_x509_crt_chain[i]);
126    }
127
128    if (sc->privkey_x509)
129    {
130        gnutls_privkey_deinit(sc->privkey_x509);
131        sc->privkey_x509 = NULL;
132    }
133
[db9ef68]134    if (sc->ca_list)
135    {
136        for (unsigned int i = 0; i < sc->ca_list_size; i++)
137        {
138            gnutls_x509_crt_deinit(sc->ca_list[i]);
139        }
140        gnutls_free(sc->ca_list);
141        sc->ca_list = NULL;
142    }
143
[7e7d328]144    if (sc->cert_pgp)
145    {
146        gnutls_pcert_deinit(&sc->cert_pgp[0]);
147        sc->cert_pgp = NULL;
148        gnutls_openpgp_crt_deinit(sc->cert_crt_pgp[0]);
149        sc->cert_crt_pgp = NULL;
150    }
151
[45b7b83]152    if (sc->privkey_pgp)
153    {
154        gnutls_privkey_deinit(sc->privkey_pgp);
155        sc->privkey_pgp = NULL;
156#if GNUTLS_VERSION_NUMBER < 0x030312
157        gnutls_openpgp_privkey_deinit(sc->privkey_pgp_internal);
158        sc->privkey_pgp_internal = NULL;
159#endif
160    }
161
162    if (sc->pgp_list)
163    {
164        gnutls_openpgp_keyring_deinit(sc->pgp_list);
165        sc->pgp_list = NULL;
166    }
167
[e2ba939]168    if (sc->priorities)
169    {
170        gnutls_priority_deinit(sc->priorities);
171        sc->priorities = NULL;
172    }
173
174    return APR_SUCCESS;
175}
176
[eee1432]177int mgs_load_files(apr_pool_t *pconf, apr_pool_t *ptemp, server_rec *s)
[031acac]178{
[e183628]179    apr_pool_t *spool;
[031acac]180    const char *file;
181    gnutls_datum_t data;
182    int ret;
[e183628]183    mgs_srvconf_rec *sc =
[81433f1]184        (mgs_srvconf_rec *) ap_get_module_config(s->module_config,
185                                                 &gnutls_module);
[e183628]186
[eee1432]187    apr_pool_create(&spool, ptemp);
[e183628]188
[e2ba939]189    /* Cleanup function for the GnuTLS structures allocated below */
[eee1432]190    apr_pool_cleanup_register(pconf, sc, mgs_pool_free_credentials,
[e2ba939]191                              apr_pool_cleanup_null);
[e183628]192
[e2ba939]193    if (sc->certs == NULL)
194    {
195        ret = gnutls_certificate_allocate_credentials(&sc->certs);
196        if (ret < 0) {
197            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
198                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
199                         gnutls_strerror(ret));
200            ret = -1;
201            goto cleanup;
202        }
[e183628]203    }
204
[e2ba939]205    if (sc->anon_creds == NULL)
206    {
207        ret = gnutls_anon_allocate_server_credentials(&sc->anon_creds);
208        if (ret < 0) {
209            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
210                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
211                         gnutls_strerror(ret));
212            ret = -1;
213            goto cleanup;
214        }
[e183628]215    }
216
[031acac]217    /* Load SRP parameters */
218#ifdef ENABLE_SRP
[e2ba939]219    if (sc->srp_creds == NULL)
220    {
221        ret = gnutls_srp_allocate_server_credentials(&sc->srp_creds);
222        if (ret < 0) {
223            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
224                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
225                         gnutls_strerror(ret));
226            ret = -1;
227            goto cleanup;
228        }
[e183628]229    }
230
[81433f1]231    if (sc->srp_tpasswd_conf_file != NULL && sc->srp_tpasswd_file != NULL)
232    {
233        ret = gnutls_srp_set_server_credentials_file
234            (sc->srp_creds, sc->srp_tpasswd_file,
235             sc->srp_tpasswd_conf_file);
236
237        if (ret < 0 && sc->enabled == GNUTLS_ENABLED_TRUE) {
238            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
239                         "GnuTLS: Host '%s:%d' is missing a "
240                         "SRP password or conf File!",
241                         s->server_hostname, s->port);
242            ret = -1;
243            goto cleanup;
244        }
[e183628]245    }
[031acac]246#endif
[e183628]247
[a2b4ab6]248    /* Load user provided DH parameters, if any */
249    if (sc->dh_file)
[e2ba939]250    {
[a2b4ab6]251        if (sc->dh_params == NULL)
[81433f1]252        {
[a2b4ab6]253            ret = gnutls_dh_params_init(&sc->dh_params);
[81433f1]254            if (ret < 0) {
255                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
[a2b4ab6]256                             "GnuTLS: Failed to initialize"
257                             ": (%d) %s", ret, gnutls_strerror(ret));
[81433f1]258                ret = -1;
259                goto cleanup;
260            }
[a2b4ab6]261        }
[81433f1]262
[a2b4ab6]263        if (load_datum_from_file(spool, sc->dh_file, &data) != 0) {
264            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
265                         "GnuTLS: Error Reading " "DH params '%s'", sc->dh_file);
266            ret = -1;
267            goto cleanup;
268        }
269
270        ret =
271            gnutls_dh_params_import_pkcs3(sc->dh_params, &data,
272                                          GNUTLS_X509_FMT_PEM);
273        if (ret < 0) {
274            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
275                         "GnuTLS: Failed to Import "
276                         "DH params '%s': (%d) %s", sc->dh_file, ret,
277                         gnutls_strerror(ret));
278            ret = -1;
279            goto cleanup;
[031acac]280        }
281    }
[e183628]282
[44e8944]283    if (sc->x509_cert_file != NULL && sc->certs_x509_crt_chain == NULL)
[e2ba939]284    {
[44e8944]285        sc->certs_x509_chain =
286            apr_pcalloc(pconf,
287                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_chain[0]));
288        sc->certs_x509_crt_chain =
289            apr_pcalloc(pconf,
290                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_crt_chain[0]));
[e2ba939]291        unsigned int chain_num = MAX_CHAIN_SIZE;
292        unsigned format = GNUTLS_X509_FMT_PEM;
[031acac]293
[81433f1]294        /* Load X.509 certificate */
295        if (strncmp(sc->x509_cert_file, "pkcs11:", 7) == 0) {
296            gnutls_pkcs11_obj_t obj;
297
298            file = sc->x509_cert_file;
299
300            ret = gnutls_pkcs11_obj_init(&obj);
301            if (ret < 0) {
302                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
303                             "GnuTLS: Error Initializing PKCS #11 object");
304                ret = -1;
305                goto cleanup;
306            }
307
308            gnutls_pkcs11_obj_set_pin_function(obj, pin_callback, sc);
309
310            ret = gnutls_pkcs11_obj_import_url(obj, file,
311                                               GNUTLS_PKCS11_OBJ_FLAG_LOGIN);
312            if (ret < 0) {
313                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
314                             "GnuTLS: Error Importing PKCS #11 object: "
315                             "'%s': %s",
316                             file, gnutls_strerror(ret));
317                ret = -1;
318                goto cleanup;
319            }
320
321            format = GNUTLS_X509_FMT_DER;
322            ret = gnutls_pkcs11_obj_export2(obj, &data);
323            if (ret < 0) {
324                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
325                             "GnuTLS: Error Exporting a PKCS #11 object: "
326                             "'%s': %s",
327                             file, gnutls_strerror(ret));
328                ret = -1;
329                goto cleanup;
330            }
331
332            gnutls_pkcs11_obj_deinit(obj);
333        } else {
334            file = ap_server_root_relative(spool, sc->x509_cert_file);
335
336            ret = gnutls_load_file(file, &data);
337            if (ret < 0) {
338                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
339                             "GnuTLS: Error Reading Certificate '%s': %s",
340                             file, gnutls_strerror(ret));
341                ret = -1;
342                goto cleanup;
343            }
344        }
345
346        ret = gnutls_x509_crt_list_import(sc->certs_x509_crt_chain,
347                                          &chain_num, &data, format,
348                                          GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED);
349        gnutls_free(data.data);
350        sc->certs_x509_chain_num = chain_num;
351
352        if (ret < 0) {
353            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
354                         "GnuTLS: Failed to Import Certificate Chain "
355                         "'%s': (%d) %s",
356                         file, ret, gnutls_strerror(ret));
357            ret = -1;
358            goto cleanup;
359        }
360
361        for (unsigned int i = 0; i < chain_num; i++)
362        {
363            ret =
364                gnutls_pcert_import_x509(&sc->certs_x509_chain[i],
365                                         sc->certs_x509_crt_chain[i], 0);
366            if (ret < 0) {
367                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
368                             "GnuTLS: Failed to Import pCertificate "
369                             "'%s': (%d) %s",
370                             file, ret, gnutls_strerror(ret));
371                ret = -1;
372                goto cleanup;
373            }
374        }
375        sc->certs_x509_chain_num = chain_num;
[e183628]376    }
[671b64f]377
[e2ba939]378    if (sc->x509_key_file && sc->privkey_x509 == NULL)
379    {
[81433f1]380        ret = gnutls_privkey_init(&sc->privkey_x509);
381        if (ret < 0) {
382            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
383                         "GnuTLS: Failed to initialize: (%d) %s", ret,
384                         gnutls_strerror(ret));
385            ret = -1;
386            goto cleanup;
387        }
388
389        if (gnutls_url_is_supported(sc->x509_key_file) != 0) {
390            file = sc->x509_key_file;
391
392            gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback,
393                                            sc);
394
395            ret = gnutls_privkey_import_url(sc->privkey_x509, file, 0);
396
397            if (ret < 0) {
398                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
399                             "GnuTLS: Failed to Import Private Key URL "
400                             "'%s': (%d) %s",
401                             file, ret, gnutls_strerror(ret));
402                ret = -1;
403                goto cleanup;
404            }
405        } else {
406            file = ap_server_root_relative(spool, sc->x509_key_file);
407
408            if (load_datum_from_file(spool, file, &data) != 0) {
409                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
410                             "GnuTLS: Error Reading Private Key '%s'",
411                             file);
412                ret = -1;
413                goto cleanup;
414            }
415
416            ret =
417                gnutls_privkey_import_x509_raw(sc->privkey_x509, &data,
418                                               GNUTLS_X509_FMT_PEM, sc->pin,
419                                               0);
420
421            if (ret < 0) {
422                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
423                             "GnuTLS: Failed to Import Private Key "
424                             "'%s': (%d) %s",
425                             file, ret, gnutls_strerror(ret));
426                ret = -1;
427                goto cleanup;
428            }
429        }
[031acac]430    }
[46b85d8]431
[031acac]432    /* Load the X.509 CA file */
[81433f1]433    if (sc->x509_ca_file)
434    {
435        if (load_datum_from_file(spool, sc->x509_ca_file, &data) != 0) {
436            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
437                         "GnuTLS: Error Reading " "Client CA File '%s'",
438                         sc->x509_ca_file);
439            ret = -1;
440            goto cleanup;
441        }
442
443        ret = gnutls_x509_crt_list_import2(&sc->ca_list, &sc->ca_list_size,
444                                           &data, GNUTLS_X509_FMT_PEM, 0);
445        if (ret < 0) {
446            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
447                         "GnuTLS: Failed to load "
448                         "Client CA File '%s': (%d) %s", sc->x509_ca_file,
449                         ret, gnutls_strerror(ret));
450            ret = -1;
451            goto cleanup;
452        }
[031acac]453    }
[3b4c0d0]454
[44e8944]455    if (sc->pgp_cert_file && sc->cert_pgp == NULL)
[81433f1]456    {
[44e8944]457        sc->cert_pgp = apr_pcalloc(pconf, sizeof(sc->cert_pgp[0]));
458        sc->cert_crt_pgp = apr_pcalloc(pconf, sizeof(sc->cert_crt_pgp[0]));
459
[81433f1]460        if (load_datum_from_file(spool, sc->pgp_cert_file, &data) != 0) {
461            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
462                         "GnuTLS: Error Reading " "Certificate '%s'",
463                         sc->pgp_cert_file);
464            ret = -1;
465            goto cleanup;
466        }
467
468        ret = gnutls_openpgp_crt_init(&sc->cert_crt_pgp[0]);
469        if (ret < 0) {
470            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
471                         "GnuTLS: Failed to Init "
472                         "PGP Certificate: (%d) %s", ret,
473                         gnutls_strerror(ret));
474            ret = -1;
475            goto cleanup;
476        }
477
478        ret = gnutls_openpgp_crt_import(sc->cert_crt_pgp[0], &data,
479                                        GNUTLS_OPENPGP_FMT_BASE64);
480        if (ret < 0) {
481            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
482                         "GnuTLS: Failed to Import "
483                         "PGP Certificate: (%d) %s", ret,
484                         gnutls_strerror(ret));
485            ret = -1;
486            goto cleanup;
487        }
488
489        ret = gnutls_pcert_import_openpgp(sc->cert_pgp,
490                                          sc->cert_crt_pgp[0], 0);
491        if (ret < 0) {
492            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
493                         "GnuTLS: Failed to Import "
494                         "PGP pCertificate: (%d) %s", ret,
495                         gnutls_strerror(ret));
496            ret = -1;
497            goto cleanup;
498        }
[e183628]499    }
500
[031acac]501    /* Load the PGP key file */
[45b7b83]502    if (sc->pgp_key_file && sc->privkey_pgp == NULL)
503    {
[81433f1]504        if (load_datum_from_file(spool, sc->pgp_key_file, &data) != 0) {
505            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
506                         "GnuTLS: Error Reading " "Private Key '%s'",
507                         sc->pgp_key_file);
508            ret = -1;
509            goto cleanup;
510        }
511
512        ret = gnutls_privkey_init(&sc->privkey_pgp);
513        if (ret < 0) {
514            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
515                         "GnuTLS: Failed to initialize"
516                         ": (%d) %s", ret, gnutls_strerror(ret));
517            ret = -1;
518            goto cleanup;
519        }
[031acac]520
[d04f7da]521#if GNUTLS_VERSION_NUMBER < 0x030312
522        /* GnuTLS versions before 3.3.12 contain a bug in
523         * gnutls_privkey_import_openpgp_raw which frees data that is
524         * accessed when the key is used, leading to segfault. Loading
525         * the key into a gnutls_openpgp_privkey_t and then assigning
526         * it to the gnutls_privkey_t works around the bug, hence this
527         * chain of gnutls_openpgp_privkey_init,
[2cde8111]528         * gnutls_openpgp_privkey_import and
[d04f7da]529         * gnutls_privkey_import_openpgp. */
[2cde8111]530        ret = gnutls_openpgp_privkey_init(&sc->privkey_pgp_internal);
[81433f1]531        if (ret != 0) {
532            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
533                         "GnuTLS: Failed to initialize "
534                         "PGP Private Key '%s': (%d) %s",
535                         sc->pgp_key_file, ret, gnutls_strerror(ret));
536            ret = -1;
537            goto cleanup;
538        }
[2cde8111]539
540        ret = gnutls_openpgp_privkey_import(sc->privkey_pgp_internal, &data,
541                                            GNUTLS_OPENPGP_FMT_BASE64, NULL, 0);
[81433f1]542        if (ret != 0) {
543            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
544                         "GnuTLS: Failed to Import "
545                         "PGP Private Key '%s': (%d) %s",
546                         sc->pgp_key_file, ret, gnutls_strerror(ret));
547            ret = -1;
548            goto cleanup;
549        }
[2cde8111]550
551        ret = gnutls_privkey_import_openpgp(sc->privkey_pgp,
552                                            sc->privkey_pgp_internal, 0);
553        if (ret != 0)
554        {
555            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
556                         "GnuTLS: Failed to assign PGP Private Key '%s' "
557                         "to gnutls_privkey_t structure: (%d) %s",
558                         sc->pgp_key_file, ret, gnutls_strerror(ret));
[81433f1]559            ret = -1;
560            goto cleanup;
561        }
[d04f7da]562#else
563        ret = gnutls_privkey_import_openpgp_raw(sc->privkey_pgp, &data,
564                                                GNUTLS_OPENPGP_FMT_BASE64,
565                                                NULL, NULL);
[81433f1]566        if (ret != 0)
[d04f7da]567        {
568            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
569                         "GnuTLS: Failed to Import "
570                         "PGP Private Key '%s': (%d) %s",
571                         sc->pgp_key_file, ret, gnutls_strerror(ret));
[81433f1]572            ret = -1;
573            goto cleanup;
574        }
[d04f7da]575#endif
[e183628]576    }
577
[031acac]578    /* Load the keyring file */
[45b7b83]579    if (sc->pgp_ring_file && sc->pgp_list == NULL)
[81433f1]580    {
581        if (load_datum_from_file(spool, sc->pgp_ring_file, &data) != 0) {
582            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
583                         "GnuTLS: Error Reading " "Keyring File '%s'",
584                         sc->pgp_ring_file);
585            ret = -1;
586            goto cleanup;
587        }
588
589        ret = gnutls_openpgp_keyring_init(&sc->pgp_list);
590        if (ret < 0) {
591            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
592                         "GnuTLS: Failed to initialize"
593                         "keyring: (%d) %s", ret, gnutls_strerror(ret));
594            ret = -1;
595            goto cleanup;
596        }
597
598        ret = gnutls_openpgp_keyring_import(sc->pgp_list, &data,
599                                            GNUTLS_OPENPGP_FMT_BASE64);
600        if (ret < 0) {
601            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
602                         "GnuTLS: Failed to load "
603                         "Keyring File '%s': (%d) %s", sc->pgp_ring_file,
604                         ret, gnutls_strerror(ret));
605            ret = -1;
606            goto cleanup;
607        }
[e183628]608    }
[3b4c0d0]609
[e2ba939]610    if (sc->priorities_str && sc->priorities == NULL)
611    {
[7314438]612        const char *err;
613        ret = gnutls_priority_init(&sc->priorities, sc->priorities_str, &err);
[031acac]614
[81433f1]615        if (ret < 0) {
616            if (ret == GNUTLS_E_INVALID_REQUEST) {
617                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
618                             "GnuTLS: Syntax error parsing priorities string at: %s",
619                             err);
620            } else {
621                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
622                             "GnuTLS: error parsing priorities string");
623
624            }
625            ret = -1;
626            goto cleanup;
627        }
[031acac]628    }
629
630    ret = 0;
[81433f1]631 cleanup:
[e183628]632    apr_pool_destroy(spool);
[3b4c0d0]633
[031acac]634    return ret;
[46b85d8]635}
636
[031acac]637int mgs_pkcs11_reinit(server_rec * base_server)
638{
[e183628]639    int ret;
[031acac]640    server_rec *s;
641    mgs_srvconf_rec *sc;
[e183628]642
[031acac]643    gnutls_pkcs11_reinit();
[e183628]644
[031acac]645    for (s = base_server; s; s = s->next) {
646        sc = (mgs_srvconf_rec *) ap_get_module_config(s->module_config, &gnutls_module);
[e183628]647
[031acac]648            /* gnutls caches the session in a private key, so we need to open
649             * a new one */
650            if (sc->x509_key_file && gnutls_url_is_supported(sc->x509_key_file) != 0) {
651                gnutls_privkey_deinit(sc->privkey_x509);
[e183628]652
[031acac]653                ret = gnutls_privkey_init(&sc->privkey_x509);
654                if (ret < 0) {
655                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
656                                 "GnuTLS: Failed to initialize: (%d) %s", ret,
657                                 gnutls_strerror(ret));
658                    goto fail;
659                }
660
661                gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback, sc);
662
663                ret = gnutls_privkey_import_url(sc->privkey_x509, sc->x509_key_file, 0);
664                if (ret < 0) {
665                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
666                             "GnuTLS: Failed to Re-Import Private Key URL '%s': (%d) %s",
667                             sc->x509_key_file, ret, gnutls_strerror(ret));
668                    goto fail;
669                }
670            }
[e183628]671    }
672
[031acac]673    return 0;
674
675 fail:
676    gnutls_privkey_deinit(sc->privkey_x509);
677    return -1;
678}
679
[1d9cfaf]680const char *mgs_set_dh_file(cmd_parms * parms, void *dummy __attribute__((unused)),
681        const char *arg) {
[e183628]682    mgs_srvconf_rec *sc =
[031acac]683        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
684                                                 module_config,
685                                                 &gnutls_module);
[e183628]686
[031acac]687    sc->dh_file = ap_server_root_relative(parms->pool, arg);
[e183628]688
689    return NULL;
[e5bbda4]690}
[e183628]691
[1d9cfaf]692const char *mgs_set_cert_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
[e183628]693
694    mgs_srvconf_rec *sc =
[031acac]695        (mgs_srvconf_rec *) ap_get_module_config(parms->
696                                                 server->module_config,
697                                                 &gnutls_module);
[e183628]698
[031acac]699    sc->x509_cert_file = apr_pstrdup(parms->pool, arg);
[e183628]700
701    return NULL;
[031acac]702
[e5bbda4]703}
704
[1d9cfaf]705const char *mgs_set_key_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
[031acac]706
[e183628]707    mgs_srvconf_rec *sc =
[031acac]708        (mgs_srvconf_rec *) ap_get_module_config(parms->
709                                                 server->module_config,
710                                                 &gnutls_module);
[e183628]711
[031acac]712    sc->x509_key_file = apr_pstrdup(parms->pool, arg);
[e183628]713
[031acac]714    return NULL;
715}
[e183628]716
[1d9cfaf]717const char *mgs_set_pgpcert_file(cmd_parms * parms, void *dummy __attribute__((unused)),
[259e835]718        const char *arg)
719{
[031acac]720    mgs_srvconf_rec *sc =
721        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
722                                                 module_config,
723                                                 &gnutls_module);
724
725    sc->pgp_cert_file = ap_server_root_relative(parms->pool, arg);
726
727    return NULL;
728}
729
[1d9cfaf]730const char *mgs_set_pgpkey_file(cmd_parms * parms, void *dummy __attribute__((unused)),
731        const char *arg) {
[031acac]732    mgs_srvconf_rec *sc =
733        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
734                                                 module_config,
735                                                 &gnutls_module);
736
737    sc->pgp_key_file = ap_server_root_relative(parms->pool, arg);
[e183628]738
739    return NULL;
[e5bbda4]740}
741
[176047e]742const char *mgs_set_tickets(cmd_parms *parms,
743                            void *dummy __attribute__((unused)),
744                            const int arg)
745{
746    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
747        ap_get_module_config(parms->server->module_config, &gnutls_module);
[e183628]748
[176047e]749    if (arg)
750        sc->tickets = GNUTLS_ENABLED_TRUE;
751    else
752        sc->tickets = GNUTLS_ENABLED_FALSE;
[e183628]753
754    return NULL;
[ae233c2]755}
756
[e5bbda4]757
[787dab7]758#ifdef ENABLE_SRP
759
[fd82e59]760const char *mgs_set_srp_tpasswd_file(cmd_parms * parms, void *dummy __attribute__((unused)),
[e183628]761        const char *arg) {
762    mgs_srvconf_rec *sc =
[031acac]763        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
764                                                 module_config,
765                                                 &gnutls_module);
[7bebb42]766
[e183628]767    sc->srp_tpasswd_file = ap_server_root_relative(parms->pool, arg);
[7bebb42]768
[e183628]769    return NULL;
[7bebb42]770}
771
[fd82e59]772const char *mgs_set_srp_tpasswd_conf_file(cmd_parms * parms, void *dummy __attribute__((unused)),
[e183628]773        const char *arg) {
774    mgs_srvconf_rec *sc =
[031acac]775        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
776                                                 module_config,
777                                                 &gnutls_module);
[7bebb42]778
[031acac]779    sc->srp_tpasswd_conf_file = ap_server_root_relative(parms->pool, arg);
[7bebb42]780
[e183628]781    return NULL;
[7bebb42]782}
783
[787dab7]784#endif
785
[fd82e59]786const char *mgs_set_cache(cmd_parms * parms, void *dummy __attribute__((unused)),
[e183628]787        const char *type, const char *arg) {
788    const char *err;
789    mgs_srvconf_rec *sc =
[031acac]790        ap_get_module_config(parms->server->module_config,
791                             &gnutls_module);
[e183628]792    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY))) {
[031acac]793        return err;
[e183628]794    }
795
796    if (strcasecmp("none", type) == 0) {
[031acac]797        sc->cache_type = mgs_cache_none;
798        sc->cache_config = NULL;
799        return NULL;
[e183628]800    } else if (strcasecmp("dbm", type) == 0) {
[031acac]801        sc->cache_type = mgs_cache_dbm;
[e183628]802    } else if (strcasecmp("gdbm", type) == 0) {
[031acac]803        sc->cache_type = mgs_cache_gdbm;
[e183628]804    }
[46b85d8]805#if HAVE_APR_MEMCACHE
[e183628]806    else if (strcasecmp("memcache", type) == 0) {
[031acac]807        sc->cache_type = mgs_cache_memcache;
[e183628]808    }
[46b85d8]809#endif
[e183628]810    else {
[031acac]811        return "Invalid Type for GnuTLSCache!";
[e183628]812    }
813
814    if (arg == NULL)
[031acac]815        return "Invalid argument 2 for GnuTLSCache!";
[e183628]816
817    if (sc->cache_type == mgs_cache_dbm
[031acac]818        || sc->cache_type == mgs_cache_gdbm) {
819        sc->cache_config = ap_server_root_relative(parms->pool, arg);
[e183628]820    } else {
[031acac]821        sc->cache_config = apr_pstrdup(parms->pool, arg);
[e183628]822    }
823
824    return NULL;
[46b85d8]825}
826
[70a1e5a]827const char *mgs_set_timeout(cmd_parms * parms,
828                            void *dummy __attribute__((unused)),
829                            const char *arg)
830{
831    apr_int64_t argint = apr_atoi64(arg);
[c39ae1a]832    /* timeouts cannot be negative */
[70a1e5a]833    if (argint < 0)
834        return apr_psprintf(parms->pool, "%s: Invalid argument",
835                            parms->directive->directive);
[480aba1]836
[70a1e5a]837    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
838        ap_get_module_config(parms->server->module_config, &gnutls_module);
[e183628]839
[70a1e5a]840    if (!apr_strnatcasecmp(parms->directive->directive, "GnuTLSCacheTimeout"))
[d26fa55]841    {
842        const char *err;
843        if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY)))
844            return err;
[70a1e5a]845        sc->cache_timeout = apr_time_from_sec(argint);
[d26fa55]846    }
[70a1e5a]847    else if (!apr_strnatcasecmp(parms->directive->directive,
[e1c094c]848                                "GnuTLSOCSPCacheTimeout"))
849        sc->ocsp_cache_time = apr_time_from_sec(argint);
[c6dda6d]850    else if (!apr_strnatcasecmp(parms->directive->directive,
851                                "GnuTLSOCSPFailureTimeout"))
852        sc->ocsp_failure_timeout = apr_time_from_sec(argint);
[333bbc7]853    else if (!apr_strnatcasecmp(parms->directive->directive,
854                                "GnuTLSOCSPSocketTimeout"))
855        sc->ocsp_socket_timeout = apr_time_from_sec(argint);
[70a1e5a]856    else
857        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
858        return apr_psprintf(parms->pool,
859                            "mod_gnutls: %s called for invalid option '%s'",
860                            __func__, parms->directive->directive);
[e183628]861
862    return NULL;
[e02dd8c]863}
864
[fd82e59]865const char *mgs_set_client_verify_method(cmd_parms * parms, void *dummy __attribute__((unused)),
[cf2b905]866        const char *arg) {
867    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)ap_get_module_config(parms->server->module_config, &gnutls_module);
868
869    if (strcasecmp("cartel", arg) == 0) {
[031acac]870        sc->client_verify_method = mgs_cvm_cartel;
[cf2b905]871    } else if (strcasecmp("msva", arg) == 0) {
872#ifdef ENABLE_MSVA
[031acac]873        sc->client_verify_method = mgs_cvm_msva;
[cf2b905]874#else
[031acac]875        return "GnuTLSClientVerifyMethod: msva is not supported";
[cf2b905]876#endif
877    } else {
[031acac]878        return "GnuTLSClientVerifyMethod: Invalid argument";
[cf2b905]879    }
880
881    return NULL;
882}
883
[fd82e59]884const char *mgs_set_client_verify(cmd_parms * parms,
885                                  void *dirconf,
886                                  const char *arg) {
[e183628]887    int mode;
888
889    if (strcasecmp("none", arg) == 0 || strcasecmp("ignore", arg) == 0) {
[031acac]890        mode = GNUTLS_CERT_IGNORE;
[e183628]891    } else if (strcasecmp("optional", arg) == 0
[031acac]892               || strcasecmp("request", arg) == 0) {
893        mode = GNUTLS_CERT_REQUEST;
[e183628]894    } else if (strcasecmp("require", arg) == 0) {
[031acac]895        mode = GNUTLS_CERT_REQUIRE;
[e183628]896    } else {
[031acac]897        return "GnuTLSClientVerify: Invalid argument";
[e183628]898    }
899
900    /* This was set from a directory context */
901    if (parms->path) {
[fd82e59]902        mgs_dirconf_rec *dc = (mgs_dirconf_rec *) dirconf;
[e183628]903        dc->client_verify_mode = mode;
904    } else {
[031acac]905        mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
906            ap_get_module_config(parms->server->module_config,
907                                 &gnutls_module);
908        sc->client_verify_mode = mode;
[e183628]909    }
910
911    return NULL;
[46b85d8]912}
913
[fd82e59]914const char *mgs_set_client_ca_file(cmd_parms * parms, void *dummy __attribute__((unused)),
[e183628]915        const char *arg) {
916    mgs_srvconf_rec *sc =
[031acac]917        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
918                                                 module_config,
919                                                 &gnutls_module);
[e183628]920
[031acac]921    sc->x509_ca_file = ap_server_root_relative(parms->pool, arg);
[e183628]922
923    return NULL;
[46b85d8]924}
925
[fd82e59]926const char *mgs_set_keyring_file(cmd_parms * parms, void *dummy __attribute__((unused)),
[e183628]927        const char *arg) {
928    mgs_srvconf_rec *sc =
[031acac]929        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
930                                                 module_config,
931                                                 &gnutls_module);
[e183628]932
[031acac]933    sc->pgp_ring_file = ap_server_root_relative(parms->pool, arg);
[e183628]934
935    return NULL;
[e5bbda4]936}
937
[176047e]938/*
939 * Enable TLS proxy operation if arg is true, disable it otherwise.
940 */
941const char *mgs_set_proxy_engine(cmd_parms *parms,
942                                 void *dummy __attribute__((unused)),
943                                 const int arg)
944{
[031acac]945    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
[176047e]946        ap_get_module_config(parms->server->module_config, &gnutls_module);
[671b64f]947
[176047e]948    if (arg)
949        sc->proxy_enabled = GNUTLS_ENABLED_TRUE;
950    else
951        sc->proxy_enabled = GNUTLS_ENABLED_FALSE;
[33826c5]952
953    return NULL;
954}
955
[176047e]956/*
957 * Enable TLS for the server/vhost if arg is true, disable it
958 * otherwise.
959 */
960const char *mgs_set_enabled(cmd_parms *parms,
961                            void *dummy __attribute__((unused)),
962                            const int arg)
963{
964    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
965        ap_get_module_config(parms->server->module_config, &gnutls_module);
966
967    if (arg)
968        sc->enabled = GNUTLS_ENABLED_TRUE;
969    else
970        sc->enabled = GNUTLS_ENABLED_FALSE;
[e183628]971
972    return NULL;
[7bebb42]973}
974
[fd82e59]975const char *mgs_set_export_certificates_size(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
[7d1ab49]976    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) ap_get_module_config(parms->server->module_config, &gnutls_module);
977    if (!strcasecmp(arg, "On")) {
[031acac]978        sc->export_certificates_size = 16 * 1024;
[7d1ab49]979    } else if (!strcasecmp(arg, "Off")) {
[031acac]980        sc->export_certificates_size = 0;
[7d1ab49]981    } else {
[031acac]982        char *endptr;
983        sc->export_certificates_size = strtol(arg, &endptr, 10);
984        while (apr_isspace(*endptr))
985            endptr++;
986        if (*endptr == '\0' || *endptr == 'b' || *endptr == 'B') {
987            ;
988        } else if (*endptr == 'k' || *endptr == 'K') {
989            sc->export_certificates_size *= 1024;
990        } else {
991            return
992                "GnuTLSExportCertificates must be set to a size (in bytes) or 'On' or 'Off'";
993        }
[7d1ab49]994    }
995
996    return NULL;
997}
998
[e183628]999
[f030883]1000
1001/*
[4133f2d]1002 * Store GnuTLS priority strings. Used for GnuTLSPriorities and
1003 * GnuTLSProxyPriorities.
[f030883]1004 */
1005const char *mgs_set_priorities(cmd_parms * parms,
1006                               void *dummy __attribute__((unused)),
1007                               const char *arg)
1008{
[671b64f]1009    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
[f030883]1010        ap_get_module_config(parms->server->module_config, &gnutls_module);
1011
1012    if (!strcasecmp(parms->directive->directive, "GnuTLSPriorities"))
[2cde026d]1013        sc->priorities_str = apr_pstrdup(parms->pool, arg);
[f030883]1014    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyPriorities"))
[4133f2d]1015        sc->proxy_priorities_str = apr_pstrdup(parms->pool, arg);
[f030883]1016    else
1017        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
1018        return apr_psprintf(parms->pool,
1019                            "mod_gnutls: %s called for invalid option '%s'",
1020                            __func__, parms->directive->directive);
[3b4c0d0]1021
[e183628]1022    return NULL;
[46b85d8]1023}
1024
[e183628]1025
1026
[259e835]1027const char *mgs_set_pin(cmd_parms * parms, void *dummy __attribute__((unused)),
1028                        const char *arg)
[031acac]1029{
[e183628]1030
[031acac]1031    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1032        ap_get_module_config(parms->server->module_config, &gnutls_module);
[beb14d9]1033
[031acac]1034    sc->pin = apr_pstrdup(parms->pool, arg);
[0de1839]1035
[e183628]1036    return NULL;
[46b85d8]1037}
[0de1839]1038
[259e835]1039const char *mgs_set_srk_pin(cmd_parms * parms,
1040                            void *dummy __attribute__((unused)),
1041                            const char *arg)
[031acac]1042{
[e183628]1043
[031acac]1044    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1045        ap_get_module_config(parms->server->module_config, &gnutls_module);
[e183628]1046
[031acac]1047    sc->srk_pin = apr_pstrdup(parms->pool, arg);
[e183628]1048
[031acac]1049    return NULL;
1050}
1051
[2cde026d]1052
1053
[031acac]1054static mgs_srvconf_rec *_mgs_config_server_create(apr_pool_t * p,
[259e835]1055                                                  char **err __attribute__((unused)))
[031acac]1056{
1057    mgs_srvconf_rec *sc = apr_pcalloc(p, sizeof(*sc));
1058
1059    sc->enabled = GNUTLS_ENABLED_UNSET;
[787dab7]1060
[e183628]1061    sc->privkey_x509 = NULL;
[e2ba939]1062    sc->anon_creds = NULL;
1063#ifdef ENABLE_SRP
1064    sc->srp_creds = NULL;
1065#endif
1066    sc->certs = NULL;
[44e8944]1067    sc->certs_x509_chain = NULL;
1068    sc->certs_x509_crt_chain = NULL;
[3b4c0d0]1069    sc->certs_x509_chain_num = 0;
[9ca1f21]1070    sc->p11_modules = NULL;
[2cde026d]1071    sc->pin = NULL;
[45b7b83]1072
[44e8944]1073    sc->cert_pgp = NULL;
1074    sc->cert_crt_pgp = NULL;
[45b7b83]1075    sc->privkey_pgp = NULL;
1076#if GNUTLS_VERSION_NUMBER < 0x030312
1077    sc->privkey_pgp_internal = NULL;
1078#endif
1079    sc->pgp_list = NULL;
1080
[2cde026d]1081    sc->priorities_str = NULL;
[c39ae1a]1082    sc->cache_timeout = MGS_TIMEOUT_UNSET;
[040387c]1083    sc->cache_type = mgs_cache_unset;
[8400c2e]1084    sc->cache_config = NULL;
[e809fb3]1085    sc->cache = NULL;
[040387c]1086    sc->tickets = GNUTLS_ENABLED_UNSET;
1087    sc->priorities = NULL;
1088    sc->dh_params = NULL;
[a2b4ab6]1089    sc->dh_file = NULL;
[db9ef68]1090    sc->ca_list = NULL;
1091    sc->ca_list_size = 0;
[040387c]1092    sc->proxy_enabled = GNUTLS_ENABLED_UNSET;
[2aaf4f5]1093    sc->export_certificates_size = -1;
[671b64f]1094    sc->client_verify_method = mgs_cvm_unset;
1095
[2cde026d]1096    sc->proxy_x509_key_file = NULL;
1097    sc->proxy_x509_cert_file = NULL;
1098    sc->proxy_x509_ca_file = NULL;
1099    sc->proxy_x509_crl_file = NULL;
[4133f2d]1100    sc->proxy_priorities_str = NULL;
[b8700b0]1101    sc->proxy_x509_creds = NULL;
1102    sc->anon_client_creds = NULL;
[2cde026d]1103    sc->proxy_priorities = NULL;
[b8700b0]1104    sc->proxy_x509_tl = NULL;
[2cde026d]1105
[4d4a406]1106    sc->ocsp_staple = GNUTLS_ENABLED_UNSET;
[b888e8b]1107    sc->ocsp_check_nonce = GNUTLS_ENABLED_UNSET;
[94cb972]1108    sc->ocsp_response_file = NULL;
[d6834e0]1109    sc->ocsp_mutex = NULL;
[e1c094c]1110    sc->ocsp_cache_time = MGS_TIMEOUT_UNSET;
[c39ae1a]1111    sc->ocsp_failure_timeout = MGS_TIMEOUT_UNSET;
1112    sc->ocsp_socket_timeout = MGS_TIMEOUT_UNSET;
[94cb972]1113
[0e3f8c6]1114    sc->singleton_wd = NULL;
1115
[040387c]1116/* this relies on GnuTLS never changing the gnutls_certificate_request_t enum to define -1 */
[671b64f]1117    sc->client_verify_mode = -1;
[7bebb42]1118
[040387c]1119    return sc;
1120}
1121
[fd82e59]1122void *mgs_config_server_create(apr_pool_t * p,
1123                               server_rec * s __attribute__((unused))) {
[040387c]1124    char *err = NULL;
1125    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
[031acac]1126    if (sc)
1127        return sc;
1128    else
1129        return err;
[040387c]1130}
1131
1132#define gnutls_srvconf_merge(t, unset) sc->t = (add->t == unset) ? base->t : add->t
1133#define gnutls_srvconf_assign(t) sc->t = add->t
1134
[031acac]1135void *mgs_config_server_merge(apr_pool_t * p, void *BASE, void *ADD)
1136{
[040387c]1137    int i;
1138    char *err = NULL;
[031acac]1139    mgs_srvconf_rec *base = (mgs_srvconf_rec *) BASE;
1140    mgs_srvconf_rec *add = (mgs_srvconf_rec *) ADD;
[040387c]1141    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
[031acac]1142    if (NULL == sc)
1143        return err;
[040387c]1144
1145    gnutls_srvconf_merge(enabled, GNUTLS_ENABLED_UNSET);
1146    gnutls_srvconf_merge(tickets, GNUTLS_ENABLED_UNSET);
1147    gnutls_srvconf_merge(proxy_enabled, GNUTLS_ENABLED_UNSET);
[2aaf4f5]1148    gnutls_srvconf_merge(export_certificates_size, -1);
[cf2b905]1149    gnutls_srvconf_merge(client_verify_method, mgs_cvm_unset);
[040387c]1150    gnutls_srvconf_merge(client_verify_mode, -1);
1151    gnutls_srvconf_merge(srp_tpasswd_file, NULL);
1152    gnutls_srvconf_merge(srp_tpasswd_conf_file, NULL);
[031acac]1153    gnutls_srvconf_merge(x509_cert_file, NULL);
1154
1155    gnutls_srvconf_merge(x509_key_file, NULL);
1156    gnutls_srvconf_merge(x509_ca_file, NULL);
[9ca1f21]1157    gnutls_srvconf_merge(p11_modules, NULL);
[031acac]1158    gnutls_srvconf_merge(pin, NULL);
1159    gnutls_srvconf_merge(pgp_cert_file, NULL);
1160    gnutls_srvconf_merge(pgp_key_file, NULL);
1161    gnutls_srvconf_merge(pgp_ring_file, NULL);
1162    gnutls_srvconf_merge(dh_file, NULL);
1163    gnutls_srvconf_merge(priorities_str, NULL);
[040387c]1164
[0de1839]1165    gnutls_srvconf_merge(proxy_x509_key_file, NULL);
1166    gnutls_srvconf_merge(proxy_x509_cert_file, NULL);
1167    gnutls_srvconf_merge(proxy_x509_ca_file, NULL);
[809c422]1168    gnutls_srvconf_merge(proxy_x509_crl_file, NULL);
[4133f2d]1169    gnutls_srvconf_merge(proxy_priorities_str, NULL);
[f030883]1170    gnutls_srvconf_merge(proxy_priorities, NULL);
[0de1839]1171
[4d4a406]1172    gnutls_srvconf_merge(ocsp_staple, GNUTLS_ENABLED_UNSET);
[b888e8b]1173    gnutls_srvconf_merge(ocsp_check_nonce, GNUTLS_ENABLED_UNSET);
[fad7695]1174    gnutls_srvconf_assign(ocsp_response_file);
[e1c094c]1175    gnutls_srvconf_merge(ocsp_cache_time, MGS_TIMEOUT_UNSET);
[c39ae1a]1176    gnutls_srvconf_merge(ocsp_failure_timeout, MGS_TIMEOUT_UNSET);
1177    gnutls_srvconf_merge(ocsp_socket_timeout, MGS_TIMEOUT_UNSET);
[94cb972]1178
[031acac]1179    gnutls_srvconf_assign(ca_list);
1180    gnutls_srvconf_assign(ca_list_size);
1181    gnutls_srvconf_assign(cert_pgp);
1182    gnutls_srvconf_assign(cert_crt_pgp);
1183    gnutls_srvconf_assign(pgp_list);
[040387c]1184    gnutls_srvconf_assign(certs);
1185    gnutls_srvconf_assign(anon_creds);
1186    gnutls_srvconf_assign(srp_creds);
1187    gnutls_srvconf_assign(certs_x509_chain);
[031acac]1188    gnutls_srvconf_assign(certs_x509_crt_chain);
[040387c]1189    gnutls_srvconf_assign(certs_x509_chain_num);
1190
1191    /* how do these get transferred cleanly before the data from ADD
1192     * goes away? */
1193    gnutls_srvconf_assign(cert_cn);
1194    for (i = 0; i < MAX_CERT_SAN; i++)
[031acac]1195        gnutls_srvconf_assign(cert_san[i]);
[7bebb42]1196
[e183628]1197    return sc;
[46b85d8]1198}
1199
[040387c]1200#undef gnutls_srvconf_merge
1201#undef gnutls_srvconf_assign
1202
[fd82e59]1203void *mgs_config_dir_merge(apr_pool_t * p,
1204                           void *basev __attribute__((unused)),
1205                           void *addv __attribute__((unused))) {
[e183628]1206    mgs_dirconf_rec *new;
1207    /*    mgs_dirconf_rec *base = (mgs_dirconf_rec *) basev; */
1208    mgs_dirconf_rec *add = (mgs_dirconf_rec *) addv;
[e02dd8c]1209
[031acac]1210    new = (mgs_dirconf_rec *) apr_pcalloc(p, sizeof(mgs_dirconf_rec));
[e183628]1211    new->client_verify_mode = add->client_verify_mode;
1212    return new;
[84cb5b2]1213}
1214
[fd82e59]1215void *mgs_config_dir_create(apr_pool_t * p,
1216                            char *dir __attribute__((unused))) {
[e183628]1217    mgs_dirconf_rec *dc = apr_palloc(p, sizeof (*dc));
1218    dc->client_verify_mode = -1;
1219    return dc;
[46b85d8]1220}
[040387c]1221
[2cde026d]1222
1223
[0de1839]1224/*
1225 * Store paths to proxy credentials
1226 *
1227 * This function copies the paths provided in the configuration file
1228 * into the server configuration. The post configuration hook takes
1229 * care of actually loading the credentials, which means than invalid
1230 * paths or the like will be detected there.
1231 */
1232const char *mgs_store_cred_path(cmd_parms * parms,
1233                                void *dummy __attribute__((unused)),
1234                                const char *arg)
1235{
1236    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1237        ap_get_module_config(parms->server->module_config, &gnutls_module);
1238
1239    /* parms->directive->directive contains the directive string */
1240    if (!strcasecmp(parms->directive->directive, "GnuTLSProxyKeyFile"))
1241        sc->proxy_x509_key_file = apr_pstrdup(parms->pool, arg);
1242    else if (!strcasecmp(parms->directive->directive,
1243                         "GnuTLSProxyCertificateFile"))
1244        sc->proxy_x509_cert_file = apr_pstrdup(parms->pool, arg);
1245    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCAFile"))
1246        sc->proxy_x509_ca_file = apr_pstrdup(parms->pool, arg);
[809c422]1247    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCRLFile"))
1248        sc->proxy_x509_crl_file = apr_pstrdup(parms->pool, arg);
[0de1839]1249    return NULL;
1250}
[87f1ed2]1251
1252
1253
1254/*
[7764015]1255 * Record PKCS #11 module to load. Note that the value is only used in
1256 * the base config, settings in virtual hosts are ignored.
[87f1ed2]1257 */
1258const char *mgs_set_p11_module(cmd_parms * parms,
1259                               void *dummy __attribute__((unused)),
1260                               const char *arg)
1261{
1262    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1263        ap_get_module_config(parms->server->module_config, &gnutls_module);
[9ca1f21]1264    /* initialize PKCS #11 module list if necessary */
1265    if (sc->p11_modules == NULL)
1266        sc->p11_modules = apr_array_make(parms->pool, 2, sizeof(char*));
1267
1268    *(char **) apr_array_push(sc->p11_modules) = apr_pstrdup(parms->pool, arg);
1269
[87f1ed2]1270    return NULL;
1271}
Note: See TracBrowser for help on using the repository browser.