source: mod_gnutls/src/gnutls_config.c @ 44e8944

debian/masterdebian/stretch-backportsupstream
Last change on this file since 44e8944 was 44e8944, checked in by Thomas Klute <thomas2.klute@…>, 3 years ago

Allocate memory for X.509 and PGP certificates only when needed

  • Property mode set to 100644
File size: 40.1 KB
Line 
1/**
2 *  Copyright 2004-2005 Paul Querna
3 *  Copyright 2008, 2014 Nikos Mavrogiannopoulos
4 *  Copyright 2011 Dash Shendy
5 *  Copyright 2015-2016 Thomas Klute
6 *
7 *  Licensed under the Apache License, Version 2.0 (the "License");
8 *  you may not use this file except in compliance with the License.
9 *  You may obtain a copy of the License at
10 *
11 *      http://www.apache.org/licenses/LICENSE-2.0
12 *
13 *  Unless required by applicable law or agreed to in writing, software
14 *  distributed under the License is distributed on an "AS IS" BASIS,
15 *  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 *  See the License for the specific language governing permissions and
17 *  limitations under the License.
18 *
19 */
20
21#include "mod_gnutls.h"
22#include "apr_lib.h"
23#include <gnutls/abstract.h>
24
25#define INIT_CA_SIZE 128
26/* Default OCSP response grace time in seconds */
27#define MGS_GRACE_TIME 60
28
29#ifdef APLOG_USE_MODULE
30APLOG_USE_MODULE(gnutls);
31#endif
32
33static int pin_callback(void *user, int attempt __attribute__((unused)),
34                        const char *token_url __attribute__((unused)),
35                        const char *token_label, unsigned int flags,
36                        char *pin, size_t pin_max)
37{
38    mgs_srvconf_rec *sc = user;
39
40    if (sc->pin == NULL || flags & GNUTLS_PIN_FINAL_TRY ||
41        flags & GNUTLS_PIN_WRONG) {
42        return -1;
43    }
44
45    if (token_label && strcmp(token_label, "SRK") == 0) {
46         snprintf(pin, pin_max, "%s", sc->srk_pin);
47    } else {
48         snprintf(pin, pin_max, "%s", sc->pin);
49    }
50    return 0;
51}
52
53static int load_datum_from_file(apr_pool_t * pool,
54                                const char *file, gnutls_datum_t * data)
55{
56    apr_file_t *fp;
57    apr_finfo_t finfo;
58    apr_status_t rv;
59    apr_size_t br = 0;
60
61    rv = apr_file_open(&fp, file, APR_READ | APR_BINARY,
62                       APR_OS_DEFAULT, pool);
63    if (rv != APR_SUCCESS) {
64        return rv;
65    }
66
67    rv = apr_file_info_get(&finfo, APR_FINFO_SIZE, fp);
68
69    if (rv != APR_SUCCESS) {
70        return rv;
71    }
72
73    data->data = apr_palloc(pool, finfo.size + 1);
74    rv = apr_file_read_full(fp, data->data, finfo.size, &br);
75
76    if (rv != APR_SUCCESS) {
77        return rv;
78    }
79    apr_file_close(fp);
80
81    data->data[br] = '\0';
82    data->size = br;
83
84    return 0;
85}
86
87/* 2048-bit group parameters from SRP specification */
88const char static_dh_params[] = "-----BEGIN DH PARAMETERS-----\n"
89        "MIIBBwKCAQCsa9tBMkqam/Fm3l4TiVgvr3K2ZRmH7gf8MZKUPbVgUKNzKcu0oJnt\n"
90        "gZPgdXdnoT3VIxKrSwMxDc1/SKnaBP1Q6Ag5ae23Z7DPYJUXmhY6s2YaBfvV+qro\n"
91        "KRipli8Lk7hV+XmT7Jde6qgNdArb9P90c1nQQdXDPqcdKB5EaxR3O8qXtDoj+4AW\n"
92        "dr0gekNsZIHx0rkHhxdGGludMuaI+HdIVEUjtSSw1X1ep3onddLs+gMs+9v1L7N4\n"
93        "YWAnkATleuavh05zA85TKZzMBBx7wwjYKlaY86jQw4JxrjX46dv7tpS1yAPYn3rk\n"
94        "Nd4jbVJfVHWbZeNy/NaO8g+nER+eSv9zAgEC\n"
95        "-----END DH PARAMETERS-----\n";
96
97/*
98 * Clean up the various GnuTLS data structures allocated from
99 * mgs_load_files()
100 */
101static apr_status_t mgs_pool_free_credentials(void *arg)
102{
103    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) arg;
104
105    if (sc->certs)
106    {
107        gnutls_certificate_free_credentials(sc->certs);
108        sc->certs = NULL;
109    }
110
111    if (sc->anon_creds)
112    {
113        gnutls_anon_free_server_credentials(sc->anon_creds);
114        sc->anon_creds = NULL;
115    }
116
117#ifdef ENABLE_SRP
118    if (sc->srp_creds)
119    {
120        gnutls_srp_free_server_credentials(sc->srp_creds);
121        sc->srp_creds = NULL;
122    }
123#endif
124
125    if (sc->dh_params)
126    {
127        gnutls_dh_params_deinit(sc->dh_params);
128        sc->dh_params = NULL;
129    }
130
131    for (unsigned int i = 0; i < sc->certs_x509_chain_num; i++)
132    {
133        gnutls_pcert_deinit(&sc->certs_x509_chain[i]);
134        gnutls_x509_crt_deinit(sc->certs_x509_crt_chain[i]);
135    }
136
137    if (sc->privkey_x509)
138    {
139        gnutls_privkey_deinit(sc->privkey_x509);
140        sc->privkey_x509 = NULL;
141    }
142
143    if (sc->ca_list)
144    {
145        for (unsigned int i = 0; i < sc->ca_list_size; i++)
146        {
147            gnutls_x509_crt_deinit(sc->ca_list[i]);
148        }
149        gnutls_free(sc->ca_list);
150        sc->ca_list = NULL;
151    }
152
153    if (sc->privkey_pgp)
154    {
155        gnutls_privkey_deinit(sc->privkey_pgp);
156        sc->privkey_pgp = NULL;
157#if GNUTLS_VERSION_NUMBER < 0x030312
158        gnutls_openpgp_privkey_deinit(sc->privkey_pgp_internal);
159        sc->privkey_pgp_internal = NULL;
160#endif
161    }
162
163    if (sc->pgp_list)
164    {
165        gnutls_openpgp_keyring_deinit(sc->pgp_list);
166        sc->pgp_list = NULL;
167    }
168
169    if (sc->priorities)
170    {
171        gnutls_priority_deinit(sc->priorities);
172        sc->priorities = NULL;
173    }
174
175    return APR_SUCCESS;
176}
177
178int mgs_load_files(apr_pool_t *pconf, apr_pool_t *ptemp, server_rec *s)
179{
180    apr_pool_t *spool;
181    const char *file;
182    gnutls_datum_t data;
183    int ret;
184    mgs_srvconf_rec *sc =
185        (mgs_srvconf_rec *) ap_get_module_config(s->module_config,
186                                                 &gnutls_module);
187
188    apr_pool_create(&spool, ptemp);
189
190    /* Cleanup function for the GnuTLS structures allocated below */
191    apr_pool_cleanup_register(pconf, sc, mgs_pool_free_credentials,
192                              apr_pool_cleanup_null);
193
194    if (sc->certs == NULL)
195    {
196        ret = gnutls_certificate_allocate_credentials(&sc->certs);
197        if (ret < 0) {
198            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
199                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
200                         gnutls_strerror(ret));
201            ret = -1;
202            goto cleanup;
203        }
204    }
205
206    if (sc->anon_creds == NULL)
207    {
208        ret = gnutls_anon_allocate_server_credentials(&sc->anon_creds);
209        if (ret < 0) {
210            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
211                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
212                         gnutls_strerror(ret));
213            ret = -1;
214            goto cleanup;
215        }
216    }
217
218    /* Load SRP parameters */
219#ifdef ENABLE_SRP
220    if (sc->srp_creds == NULL)
221    {
222        ret = gnutls_srp_allocate_server_credentials(&sc->srp_creds);
223        if (ret < 0) {
224            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
225                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
226                         gnutls_strerror(ret));
227            ret = -1;
228            goto cleanup;
229        }
230    }
231
232    if (sc->srp_tpasswd_conf_file != NULL && sc->srp_tpasswd_file != NULL)
233    {
234        ret = gnutls_srp_set_server_credentials_file
235            (sc->srp_creds, sc->srp_tpasswd_file,
236             sc->srp_tpasswd_conf_file);
237
238        if (ret < 0 && sc->enabled == GNUTLS_ENABLED_TRUE) {
239            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
240                         "GnuTLS: Host '%s:%d' is missing a "
241                         "SRP password or conf File!",
242                         s->server_hostname, s->port);
243            ret = -1;
244            goto cleanup;
245        }
246    }
247#endif
248
249    if (sc->dh_params == NULL)
250    {
251        ret = gnutls_dh_params_init(&sc->dh_params);
252        if (ret < 0) {
253            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
254                         "GnuTLS: Failed to initialize"
255                         ": (%d) %s", ret, gnutls_strerror(ret));
256            ret = -1;
257            goto cleanup;
258        }
259
260        /* Load DH parameters */
261        if (sc->dh_file)
262        {
263            if (load_datum_from_file(spool, sc->dh_file, &data) != 0) {
264                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
265                             "GnuTLS: Error Reading " "DH params '%s'", sc->dh_file);
266                ret = -1;
267                goto cleanup;
268            }
269
270            ret =
271                gnutls_dh_params_import_pkcs3(sc->dh_params, &data,
272                                              GNUTLS_X509_FMT_PEM);
273            if (ret < 0) {
274                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
275                             "GnuTLS: Failed to Import "
276                             "DH params '%s': (%d) %s", sc->dh_file, ret,
277                             gnutls_strerror(ret));
278                ret = -1;
279                goto cleanup;
280            }
281        } else {
282            gnutls_datum_t pdata = {
283                (void *) static_dh_params,
284                sizeof(static_dh_params)
285            };
286
287            ret = gnutls_dh_params_import_pkcs3(sc->dh_params, &pdata, GNUTLS_X509_FMT_PEM);
288            if (ret < 0) {
289                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
290                             "GnuTLS: Unable to generate or load DH Params: (%d) %s",
291                             ret, gnutls_strerror(ret));
292                ret = -1;
293                goto cleanup;
294            }
295        }
296    }
297
298    if (sc->x509_cert_file != NULL && sc->certs_x509_crt_chain == NULL)
299    {
300        sc->certs_x509_chain =
301            apr_pcalloc(pconf,
302                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_chain[0]));
303        sc->certs_x509_crt_chain =
304            apr_pcalloc(pconf,
305                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_crt_chain[0]));
306        unsigned int chain_num = MAX_CHAIN_SIZE;
307        unsigned format = GNUTLS_X509_FMT_PEM;
308
309        /* Load X.509 certificate */
310        if (strncmp(sc->x509_cert_file, "pkcs11:", 7) == 0) {
311            gnutls_pkcs11_obj_t obj;
312
313            file = sc->x509_cert_file;
314
315            ret = gnutls_pkcs11_obj_init(&obj);
316            if (ret < 0) {
317                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
318                             "GnuTLS: Error Initializing PKCS #11 object");
319                ret = -1;
320                goto cleanup;
321            }
322
323            gnutls_pkcs11_obj_set_pin_function(obj, pin_callback, sc);
324
325            ret = gnutls_pkcs11_obj_import_url(obj, file,
326                                               GNUTLS_PKCS11_OBJ_FLAG_LOGIN);
327            if (ret < 0) {
328                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
329                             "GnuTLS: Error Importing PKCS #11 object: "
330                             "'%s': %s",
331                             file, gnutls_strerror(ret));
332                ret = -1;
333                goto cleanup;
334            }
335
336            format = GNUTLS_X509_FMT_DER;
337            ret = gnutls_pkcs11_obj_export2(obj, &data);
338            if (ret < 0) {
339                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
340                             "GnuTLS: Error Exporting a PKCS #11 object: "
341                             "'%s': %s",
342                             file, gnutls_strerror(ret));
343                ret = -1;
344                goto cleanup;
345            }
346
347            gnutls_pkcs11_obj_deinit(obj);
348        } else {
349            file = ap_server_root_relative(spool, sc->x509_cert_file);
350
351            ret = gnutls_load_file(file, &data);
352            if (ret < 0) {
353                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
354                             "GnuTLS: Error Reading Certificate '%s': %s",
355                             file, gnutls_strerror(ret));
356                ret = -1;
357                goto cleanup;
358            }
359        }
360
361        ret = gnutls_x509_crt_list_import(sc->certs_x509_crt_chain,
362                                          &chain_num, &data, format,
363                                          GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED);
364        gnutls_free(data.data);
365        sc->certs_x509_chain_num = chain_num;
366
367        if (ret < 0) {
368            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
369                         "GnuTLS: Failed to Import Certificate Chain "
370                         "'%s': (%d) %s",
371                         file, ret, gnutls_strerror(ret));
372            ret = -1;
373            goto cleanup;
374        }
375
376        for (unsigned int i = 0; i < chain_num; i++)
377        {
378            ret =
379                gnutls_pcert_import_x509(&sc->certs_x509_chain[i],
380                                         sc->certs_x509_crt_chain[i], 0);
381            if (ret < 0) {
382                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
383                             "GnuTLS: Failed to Import pCertificate "
384                             "'%s': (%d) %s",
385                             file, ret, gnutls_strerror(ret));
386                ret = -1;
387                goto cleanup;
388            }
389        }
390        sc->certs_x509_chain_num = chain_num;
391    }
392
393    if (sc->x509_key_file && sc->privkey_x509 == NULL)
394    {
395        ret = gnutls_privkey_init(&sc->privkey_x509);
396        if (ret < 0) {
397            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
398                         "GnuTLS: Failed to initialize: (%d) %s", ret,
399                         gnutls_strerror(ret));
400            ret = -1;
401            goto cleanup;
402        }
403
404        if (gnutls_url_is_supported(sc->x509_key_file) != 0) {
405            file = sc->x509_key_file;
406
407            gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback,
408                                            sc);
409
410            ret = gnutls_privkey_import_url(sc->privkey_x509, file, 0);
411
412            if (ret < 0) {
413                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
414                             "GnuTLS: Failed to Import Private Key URL "
415                             "'%s': (%d) %s",
416                             file, ret, gnutls_strerror(ret));
417                ret = -1;
418                goto cleanup;
419            }
420        } else {
421            file = ap_server_root_relative(spool, sc->x509_key_file);
422
423            if (load_datum_from_file(spool, file, &data) != 0) {
424                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
425                             "GnuTLS: Error Reading Private Key '%s'",
426                             file);
427                ret = -1;
428                goto cleanup;
429            }
430
431            ret =
432                gnutls_privkey_import_x509_raw(sc->privkey_x509, &data,
433                                               GNUTLS_X509_FMT_PEM, sc->pin,
434                                               0);
435
436            if (ret < 0) {
437                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
438                             "GnuTLS: Failed to Import Private Key "
439                             "'%s': (%d) %s",
440                             file, ret, gnutls_strerror(ret));
441                ret = -1;
442                goto cleanup;
443            }
444        }
445    }
446
447    /* Load the X.509 CA file */
448    if (sc->x509_ca_file)
449    {
450        if (load_datum_from_file(spool, sc->x509_ca_file, &data) != 0) {
451            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
452                         "GnuTLS: Error Reading " "Client CA File '%s'",
453                         sc->x509_ca_file);
454            ret = -1;
455            goto cleanup;
456        }
457
458        ret = gnutls_x509_crt_list_import2(&sc->ca_list, &sc->ca_list_size,
459                                           &data, GNUTLS_X509_FMT_PEM, 0);
460        if (ret < 0) {
461            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
462                         "GnuTLS: Failed to load "
463                         "Client CA File '%s': (%d) %s", sc->x509_ca_file,
464                         ret, gnutls_strerror(ret));
465            ret = -1;
466            goto cleanup;
467        }
468    }
469
470    if (sc->pgp_cert_file && sc->cert_pgp == NULL)
471    {
472        sc->cert_pgp = apr_pcalloc(pconf, sizeof(sc->cert_pgp[0]));
473        sc->cert_crt_pgp = apr_pcalloc(pconf, sizeof(sc->cert_crt_pgp[0]));
474
475        if (load_datum_from_file(spool, sc->pgp_cert_file, &data) != 0) {
476            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
477                         "GnuTLS: Error Reading " "Certificate '%s'",
478                         sc->pgp_cert_file);
479            ret = -1;
480            goto cleanup;
481        }
482
483        ret = gnutls_openpgp_crt_init(&sc->cert_crt_pgp[0]);
484        if (ret < 0) {
485            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
486                         "GnuTLS: Failed to Init "
487                         "PGP Certificate: (%d) %s", ret,
488                         gnutls_strerror(ret));
489            ret = -1;
490            goto cleanup;
491        }
492
493        ret = gnutls_openpgp_crt_import(sc->cert_crt_pgp[0], &data,
494                                        GNUTLS_OPENPGP_FMT_BASE64);
495        if (ret < 0) {
496            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
497                         "GnuTLS: Failed to Import "
498                         "PGP Certificate: (%d) %s", ret,
499                         gnutls_strerror(ret));
500            ret = -1;
501            goto cleanup;
502        }
503
504        ret = gnutls_pcert_import_openpgp(sc->cert_pgp,
505                                          sc->cert_crt_pgp[0], 0);
506        if (ret < 0) {
507            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
508                         "GnuTLS: Failed to Import "
509                         "PGP pCertificate: (%d) %s", ret,
510                         gnutls_strerror(ret));
511            ret = -1;
512            goto cleanup;
513        }
514    }
515
516    /* Load the PGP key file */
517    if (sc->pgp_key_file && sc->privkey_pgp == NULL)
518    {
519        if (load_datum_from_file(spool, sc->pgp_key_file, &data) != 0) {
520            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
521                         "GnuTLS: Error Reading " "Private Key '%s'",
522                         sc->pgp_key_file);
523            ret = -1;
524            goto cleanup;
525        }
526
527        ret = gnutls_privkey_init(&sc->privkey_pgp);
528        if (ret < 0) {
529            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
530                         "GnuTLS: Failed to initialize"
531                         ": (%d) %s", ret, gnutls_strerror(ret));
532            ret = -1;
533            goto cleanup;
534        }
535
536#if GNUTLS_VERSION_NUMBER < 0x030312
537        /* GnuTLS versions before 3.3.12 contain a bug in
538         * gnutls_privkey_import_openpgp_raw which frees data that is
539         * accessed when the key is used, leading to segfault. Loading
540         * the key into a gnutls_openpgp_privkey_t and then assigning
541         * it to the gnutls_privkey_t works around the bug, hence this
542         * chain of gnutls_openpgp_privkey_init,
543         * gnutls_openpgp_privkey_import and
544         * gnutls_privkey_import_openpgp. */
545        ret = gnutls_openpgp_privkey_init(&sc->privkey_pgp_internal);
546        if (ret != 0) {
547            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
548                         "GnuTLS: Failed to initialize "
549                         "PGP Private Key '%s': (%d) %s",
550                         sc->pgp_key_file, ret, gnutls_strerror(ret));
551            ret = -1;
552            goto cleanup;
553        }
554
555        ret = gnutls_openpgp_privkey_import(sc->privkey_pgp_internal, &data,
556                                            GNUTLS_OPENPGP_FMT_BASE64, NULL, 0);
557        if (ret != 0) {
558            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
559                         "GnuTLS: Failed to Import "
560                         "PGP Private Key '%s': (%d) %s",
561                         sc->pgp_key_file, ret, gnutls_strerror(ret));
562            ret = -1;
563            goto cleanup;
564        }
565
566        ret = gnutls_privkey_import_openpgp(sc->privkey_pgp,
567                                            sc->privkey_pgp_internal, 0);
568        if (ret != 0)
569        {
570            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
571                         "GnuTLS: Failed to assign PGP Private Key '%s' "
572                         "to gnutls_privkey_t structure: (%d) %s",
573                         sc->pgp_key_file, ret, gnutls_strerror(ret));
574            ret = -1;
575            goto cleanup;
576        }
577#else
578        ret = gnutls_privkey_import_openpgp_raw(sc->privkey_pgp, &data,
579                                                GNUTLS_OPENPGP_FMT_BASE64,
580                                                NULL, NULL);
581        if (ret != 0)
582        {
583            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
584                         "GnuTLS: Failed to Import "
585                         "PGP Private Key '%s': (%d) %s",
586                         sc->pgp_key_file, ret, gnutls_strerror(ret));
587            ret = -1;
588            goto cleanup;
589        }
590#endif
591    }
592
593    /* Load the keyring file */
594    if (sc->pgp_ring_file && sc->pgp_list == NULL)
595    {
596        if (load_datum_from_file(spool, sc->pgp_ring_file, &data) != 0) {
597            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
598                         "GnuTLS: Error Reading " "Keyring File '%s'",
599                         sc->pgp_ring_file);
600            ret = -1;
601            goto cleanup;
602        }
603
604        ret = gnutls_openpgp_keyring_init(&sc->pgp_list);
605        if (ret < 0) {
606            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
607                         "GnuTLS: Failed to initialize"
608                         "keyring: (%d) %s", ret, gnutls_strerror(ret));
609            ret = -1;
610            goto cleanup;
611        }
612
613        ret = gnutls_openpgp_keyring_import(sc->pgp_list, &data,
614                                            GNUTLS_OPENPGP_FMT_BASE64);
615        if (ret < 0) {
616            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
617                         "GnuTLS: Failed to load "
618                         "Keyring File '%s': (%d) %s", sc->pgp_ring_file,
619                         ret, gnutls_strerror(ret));
620            ret = -1;
621            goto cleanup;
622        }
623    }
624
625    if (sc->priorities_str && sc->priorities == NULL)
626    {
627        const char *err;
628        ret = gnutls_priority_init(&sc->priorities, sc->priorities_str, &err);
629
630        if (ret < 0) {
631            if (ret == GNUTLS_E_INVALID_REQUEST) {
632                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
633                             "GnuTLS: Syntax error parsing priorities string at: %s",
634                             err);
635            } else {
636                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
637                             "GnuTLS: error parsing priorities string");
638
639            }
640            ret = -1;
641            goto cleanup;
642        }
643    }
644
645    ret = 0;
646 cleanup:
647    apr_pool_destroy(spool);
648
649    return ret;
650}
651
652int mgs_pkcs11_reinit(server_rec * base_server)
653{
654    int ret;
655    server_rec *s;
656    mgs_srvconf_rec *sc;
657
658    gnutls_pkcs11_reinit();
659
660    for (s = base_server; s; s = s->next) {
661        sc = (mgs_srvconf_rec *) ap_get_module_config(s->module_config, &gnutls_module);
662
663            /* gnutls caches the session in a private key, so we need to open
664             * a new one */
665            if (sc->x509_key_file && gnutls_url_is_supported(sc->x509_key_file) != 0) {
666                gnutls_privkey_deinit(sc->privkey_x509);
667
668                ret = gnutls_privkey_init(&sc->privkey_x509);
669                if (ret < 0) {
670                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
671                                 "GnuTLS: Failed to initialize: (%d) %s", ret,
672                                 gnutls_strerror(ret));
673                    goto fail;
674                }
675
676                gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback, sc);
677
678                ret = gnutls_privkey_import_url(sc->privkey_x509, sc->x509_key_file, 0);
679                if (ret < 0) {
680                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
681                             "GnuTLS: Failed to Re-Import Private Key URL '%s': (%d) %s",
682                             sc->x509_key_file, ret, gnutls_strerror(ret));
683                    goto fail;
684                }
685            }
686    }
687
688    return 0;
689
690 fail:
691    gnutls_privkey_deinit(sc->privkey_x509);
692    return -1;
693}
694
695const char *mgs_set_dh_file(cmd_parms * parms, void *dummy __attribute__((unused)),
696        const char *arg) {
697    mgs_srvconf_rec *sc =
698        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
699                                                 module_config,
700                                                 &gnutls_module);
701
702    sc->dh_file = ap_server_root_relative(parms->pool, arg);
703
704    return NULL;
705}
706
707const char *mgs_set_cert_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
708
709    mgs_srvconf_rec *sc =
710        (mgs_srvconf_rec *) ap_get_module_config(parms->
711                                                 server->module_config,
712                                                 &gnutls_module);
713
714    sc->x509_cert_file = apr_pstrdup(parms->pool, arg);
715
716    return NULL;
717
718}
719
720const char *mgs_set_key_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
721
722    mgs_srvconf_rec *sc =
723        (mgs_srvconf_rec *) ap_get_module_config(parms->
724                                                 server->module_config,
725                                                 &gnutls_module);
726
727    sc->x509_key_file = apr_pstrdup(parms->pool, arg);
728
729    return NULL;
730}
731
732const char *mgs_set_pgpcert_file(cmd_parms * parms, void *dummy __attribute__((unused)),
733        const char *arg)
734{
735    mgs_srvconf_rec *sc =
736        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
737                                                 module_config,
738                                                 &gnutls_module);
739
740    sc->pgp_cert_file = ap_server_root_relative(parms->pool, arg);
741
742    return NULL;
743}
744
745const char *mgs_set_pgpkey_file(cmd_parms * parms, void *dummy __attribute__((unused)),
746        const char *arg) {
747    mgs_srvconf_rec *sc =
748        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
749                                                 module_config,
750                                                 &gnutls_module);
751
752    sc->pgp_key_file = ap_server_root_relative(parms->pool, arg);
753
754    return NULL;
755}
756
757const char *mgs_set_tickets(cmd_parms *parms,
758                            void *dummy __attribute__((unused)),
759                            const int arg)
760{
761    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
762        ap_get_module_config(parms->server->module_config, &gnutls_module);
763
764    if (arg)
765        sc->tickets = GNUTLS_ENABLED_TRUE;
766    else
767        sc->tickets = GNUTLS_ENABLED_FALSE;
768
769    return NULL;
770}
771
772
773#ifdef ENABLE_SRP
774
775const char *mgs_set_srp_tpasswd_file(cmd_parms * parms, void *dummy __attribute__((unused)),
776        const char *arg) {
777    mgs_srvconf_rec *sc =
778        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
779                                                 module_config,
780                                                 &gnutls_module);
781
782    sc->srp_tpasswd_file = ap_server_root_relative(parms->pool, arg);
783
784    return NULL;
785}
786
787const char *mgs_set_srp_tpasswd_conf_file(cmd_parms * parms, void *dummy __attribute__((unused)),
788        const char *arg) {
789    mgs_srvconf_rec *sc =
790        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
791                                                 module_config,
792                                                 &gnutls_module);
793
794    sc->srp_tpasswd_conf_file = ap_server_root_relative(parms->pool, arg);
795
796    return NULL;
797}
798
799#endif
800
801const char *mgs_set_cache(cmd_parms * parms, void *dummy __attribute__((unused)),
802        const char *type, const char *arg) {
803    const char *err;
804    mgs_srvconf_rec *sc =
805        ap_get_module_config(parms->server->module_config,
806                             &gnutls_module);
807    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY))) {
808        return err;
809    }
810
811    if (strcasecmp("none", type) == 0) {
812        sc->cache_type = mgs_cache_none;
813        sc->cache_config = NULL;
814        return NULL;
815    } else if (strcasecmp("dbm", type) == 0) {
816        sc->cache_type = mgs_cache_dbm;
817    } else if (strcasecmp("gdbm", type) == 0) {
818        sc->cache_type = mgs_cache_gdbm;
819    }
820#if HAVE_APR_MEMCACHE
821    else if (strcasecmp("memcache", type) == 0) {
822        sc->cache_type = mgs_cache_memcache;
823    }
824#endif
825    else {
826        return "Invalid Type for GnuTLSCache!";
827    }
828
829    if (arg == NULL)
830        return "Invalid argument 2 for GnuTLSCache!";
831
832    if (sc->cache_type == mgs_cache_dbm
833        || sc->cache_type == mgs_cache_gdbm) {
834        sc->cache_config = ap_server_root_relative(parms->pool, arg);
835    } else {
836        sc->cache_config = apr_pstrdup(parms->pool, arg);
837    }
838
839    return NULL;
840}
841
842const char *mgs_set_timeout(cmd_parms * parms,
843                            void *dummy __attribute__((unused)),
844                            const char *arg)
845{
846    const char *err;
847    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY)))
848        return err;
849
850    apr_int64_t argint = apr_atoi64(arg);
851    if (argint < 0)
852        return apr_psprintf(parms->pool, "%s: Invalid argument",
853                            parms->directive->directive);
854
855    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
856        ap_get_module_config(parms->server->module_config, &gnutls_module);
857
858    if (!apr_strnatcasecmp(parms->directive->directive, "GnuTLSCacheTimeout"))
859        sc->cache_timeout = apr_time_from_sec(argint);
860    else if (!apr_strnatcasecmp(parms->directive->directive,
861                                "GnuTLSOCSPGraceTime"))
862        sc->ocsp_grace_time = apr_time_from_sec(argint);
863    else
864        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
865        return apr_psprintf(parms->pool,
866                            "mod_gnutls: %s called for invalid option '%s'",
867                            __func__, parms->directive->directive);
868
869    return NULL;
870}
871
872const char *mgs_set_client_verify_method(cmd_parms * parms, void *dummy __attribute__((unused)),
873        const char *arg) {
874    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)ap_get_module_config(parms->server->module_config, &gnutls_module);
875
876    if (strcasecmp("cartel", arg) == 0) {
877        sc->client_verify_method = mgs_cvm_cartel;
878    } else if (strcasecmp("msva", arg) == 0) {
879#ifdef ENABLE_MSVA
880        sc->client_verify_method = mgs_cvm_msva;
881#else
882        return "GnuTLSClientVerifyMethod: msva is not supported";
883#endif
884    } else {
885        return "GnuTLSClientVerifyMethod: Invalid argument";
886    }
887
888    return NULL;
889}
890
891const char *mgs_set_client_verify(cmd_parms * parms,
892                                  void *dirconf,
893                                  const char *arg) {
894    int mode;
895
896    if (strcasecmp("none", arg) == 0 || strcasecmp("ignore", arg) == 0) {
897        mode = GNUTLS_CERT_IGNORE;
898    } else if (strcasecmp("optional", arg) == 0
899               || strcasecmp("request", arg) == 0) {
900        mode = GNUTLS_CERT_REQUEST;
901    } else if (strcasecmp("require", arg) == 0) {
902        mode = GNUTLS_CERT_REQUIRE;
903    } else {
904        return "GnuTLSClientVerify: Invalid argument";
905    }
906
907    /* This was set from a directory context */
908    if (parms->path) {
909        mgs_dirconf_rec *dc = (mgs_dirconf_rec *) dirconf;
910        dc->client_verify_mode = mode;
911    } else {
912        mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
913            ap_get_module_config(parms->server->module_config,
914                                 &gnutls_module);
915        sc->client_verify_mode = mode;
916    }
917
918    return NULL;
919}
920
921const char *mgs_set_client_ca_file(cmd_parms * parms, void *dummy __attribute__((unused)),
922        const char *arg) {
923    mgs_srvconf_rec *sc =
924        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
925                                                 module_config,
926                                                 &gnutls_module);
927
928    sc->x509_ca_file = ap_server_root_relative(parms->pool, arg);
929
930    return NULL;
931}
932
933const char *mgs_set_keyring_file(cmd_parms * parms, void *dummy __attribute__((unused)),
934        const char *arg) {
935    mgs_srvconf_rec *sc =
936        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
937                                                 module_config,
938                                                 &gnutls_module);
939
940    sc->pgp_ring_file = ap_server_root_relative(parms->pool, arg);
941
942    return NULL;
943}
944
945/*
946 * Enable TLS proxy operation if arg is true, disable it otherwise.
947 */
948const char *mgs_set_proxy_engine(cmd_parms *parms,
949                                 void *dummy __attribute__((unused)),
950                                 const int arg)
951{
952    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
953        ap_get_module_config(parms->server->module_config, &gnutls_module);
954
955    if (arg)
956        sc->proxy_enabled = GNUTLS_ENABLED_TRUE;
957    else
958        sc->proxy_enabled = GNUTLS_ENABLED_FALSE;
959
960    return NULL;
961}
962
963/*
964 * Enable TLS for the server/vhost if arg is true, disable it
965 * otherwise.
966 */
967const char *mgs_set_enabled(cmd_parms *parms,
968                            void *dummy __attribute__((unused)),
969                            const int arg)
970{
971    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
972        ap_get_module_config(parms->server->module_config, &gnutls_module);
973
974    if (arg)
975        sc->enabled = GNUTLS_ENABLED_TRUE;
976    else
977        sc->enabled = GNUTLS_ENABLED_FALSE;
978
979    return NULL;
980}
981
982const char *mgs_set_export_certificates_size(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
983    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) ap_get_module_config(parms->server->module_config, &gnutls_module);
984    if (!strcasecmp(arg, "On")) {
985        sc->export_certificates_size = 16 * 1024;
986    } else if (!strcasecmp(arg, "Off")) {
987        sc->export_certificates_size = 0;
988    } else {
989        char *endptr;
990        sc->export_certificates_size = strtol(arg, &endptr, 10);
991        while (apr_isspace(*endptr))
992            endptr++;
993        if (*endptr == '\0' || *endptr == 'b' || *endptr == 'B') {
994            ;
995        } else if (*endptr == 'k' || *endptr == 'K') {
996            sc->export_certificates_size *= 1024;
997        } else {
998            return
999                "GnuTLSExportCertificates must be set to a size (in bytes) or 'On' or 'Off'";
1000        }
1001    }
1002
1003    return NULL;
1004}
1005
1006
1007
1008/*
1009 * Store GnuTLS priority strings. Used for GnuTLSPriorities and
1010 * GnuTLSProxyPriorities.
1011 */
1012const char *mgs_set_priorities(cmd_parms * parms,
1013                               void *dummy __attribute__((unused)),
1014                               const char *arg)
1015{
1016    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1017        ap_get_module_config(parms->server->module_config, &gnutls_module);
1018
1019    if (!strcasecmp(parms->directive->directive, "GnuTLSPriorities"))
1020        sc->priorities_str = apr_pstrdup(parms->pool, arg);
1021    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyPriorities"))
1022        sc->proxy_priorities_str = apr_pstrdup(parms->pool, arg);
1023    else
1024        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
1025        return apr_psprintf(parms->pool,
1026                            "mod_gnutls: %s called for invalid option '%s'",
1027                            __func__, parms->directive->directive);
1028
1029    return NULL;
1030}
1031
1032
1033
1034const char *mgs_set_pin(cmd_parms * parms, void *dummy __attribute__((unused)),
1035                        const char *arg)
1036{
1037
1038    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1039        ap_get_module_config(parms->server->module_config, &gnutls_module);
1040
1041    sc->pin = apr_pstrdup(parms->pool, arg);
1042
1043    return NULL;
1044}
1045
1046const char *mgs_set_srk_pin(cmd_parms * parms,
1047                            void *dummy __attribute__((unused)),
1048                            const char *arg)
1049{
1050
1051    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1052        ap_get_module_config(parms->server->module_config, &gnutls_module);
1053
1054    sc->srk_pin = apr_pstrdup(parms->pool, arg);
1055
1056    return NULL;
1057}
1058
1059
1060
1061static mgs_srvconf_rec *_mgs_config_server_create(apr_pool_t * p,
1062                                                  char **err __attribute__((unused)))
1063{
1064    mgs_srvconf_rec *sc = apr_pcalloc(p, sizeof(*sc));
1065
1066    sc->enabled = GNUTLS_ENABLED_UNSET;
1067
1068    sc->privkey_x509 = NULL;
1069    sc->anon_creds = NULL;
1070#ifdef ENABLE_SRP
1071    sc->srp_creds = NULL;
1072#endif
1073    sc->certs = NULL;
1074    sc->certs_x509_chain = NULL;
1075    sc->certs_x509_crt_chain = NULL;
1076    sc->certs_x509_chain_num = 0;
1077    sc->p11_modules = NULL;
1078    sc->pin = NULL;
1079
1080    sc->cert_pgp = NULL;
1081    sc->cert_crt_pgp = NULL;
1082    sc->privkey_pgp = NULL;
1083#if GNUTLS_VERSION_NUMBER < 0x030312
1084    sc->privkey_pgp_internal = NULL;
1085#endif
1086    sc->pgp_list = NULL;
1087
1088    sc->priorities_str = NULL;
1089    sc->cache_timeout = -1;     /* -1 means "unset" */
1090    sc->cache_type = mgs_cache_unset;
1091    sc->cache_config = NULL;
1092    sc->cache = NULL;
1093    sc->tickets = GNUTLS_ENABLED_UNSET;
1094    sc->priorities = NULL;
1095    sc->dh_params = NULL;
1096    sc->ca_list = NULL;
1097    sc->ca_list_size = 0;
1098    sc->proxy_enabled = GNUTLS_ENABLED_UNSET;
1099    sc->export_certificates_size = -1;
1100    sc->client_verify_method = mgs_cvm_unset;
1101
1102    sc->proxy_x509_key_file = NULL;
1103    sc->proxy_x509_cert_file = NULL;
1104    sc->proxy_x509_ca_file = NULL;
1105    sc->proxy_x509_crl_file = NULL;
1106    sc->proxy_priorities_str = NULL;
1107    sc->proxy_priorities = NULL;
1108
1109    sc->ocsp_response_file = NULL;
1110    sc->ocsp_mutex = NULL;
1111    sc->ocsp_grace_time = apr_time_from_sec(MGS_GRACE_TIME);
1112
1113/* this relies on GnuTLS never changing the gnutls_certificate_request_t enum to define -1 */
1114    sc->client_verify_mode = -1;
1115
1116    return sc;
1117}
1118
1119void *mgs_config_server_create(apr_pool_t * p,
1120                               server_rec * s __attribute__((unused))) {
1121    char *err = NULL;
1122    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
1123    if (sc)
1124        return sc;
1125    else
1126        return err;
1127}
1128
1129#define gnutls_srvconf_merge(t, unset) sc->t = (add->t == unset) ? base->t : add->t
1130#define gnutls_srvconf_assign(t) sc->t = add->t
1131
1132void *mgs_config_server_merge(apr_pool_t * p, void *BASE, void *ADD)
1133{
1134    int i;
1135    char *err = NULL;
1136    mgs_srvconf_rec *base = (mgs_srvconf_rec *) BASE;
1137    mgs_srvconf_rec *add = (mgs_srvconf_rec *) ADD;
1138    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
1139    if (NULL == sc)
1140        return err;
1141
1142    gnutls_srvconf_merge(enabled, GNUTLS_ENABLED_UNSET);
1143    gnutls_srvconf_merge(tickets, GNUTLS_ENABLED_UNSET);
1144    gnutls_srvconf_merge(proxy_enabled, GNUTLS_ENABLED_UNSET);
1145    gnutls_srvconf_merge(export_certificates_size, -1);
1146    gnutls_srvconf_merge(client_verify_method, mgs_cvm_unset);
1147    gnutls_srvconf_merge(client_verify_mode, -1);
1148    gnutls_srvconf_merge(srp_tpasswd_file, NULL);
1149    gnutls_srvconf_merge(srp_tpasswd_conf_file, NULL);
1150    gnutls_srvconf_merge(x509_cert_file, NULL);
1151
1152    gnutls_srvconf_merge(x509_key_file, NULL);
1153    gnutls_srvconf_merge(x509_ca_file, NULL);
1154    gnutls_srvconf_merge(p11_modules, NULL);
1155    gnutls_srvconf_merge(pin, NULL);
1156    gnutls_srvconf_merge(pgp_cert_file, NULL);
1157    gnutls_srvconf_merge(pgp_key_file, NULL);
1158    gnutls_srvconf_merge(pgp_ring_file, NULL);
1159    gnutls_srvconf_merge(dh_file, NULL);
1160    gnutls_srvconf_merge(priorities_str, NULL);
1161
1162    gnutls_srvconf_merge(proxy_x509_key_file, NULL);
1163    gnutls_srvconf_merge(proxy_x509_cert_file, NULL);
1164    gnutls_srvconf_merge(proxy_x509_ca_file, NULL);
1165    gnutls_srvconf_merge(proxy_x509_crl_file, NULL);
1166    gnutls_srvconf_merge(proxy_priorities_str, NULL);
1167    gnutls_srvconf_merge(proxy_priorities, NULL);
1168
1169    gnutls_srvconf_assign(ocsp_response_file);
1170    gnutls_srvconf_merge(ocsp_grace_time, apr_time_from_sec(MGS_GRACE_TIME));
1171
1172    /* FIXME: the following items are pre-allocated, and should be
1173     * properly disposed of before assigning in order to avoid leaks;
1174     * so at the moment, we can't actually have them in the config.
1175     * what happens during de-allocation? */
1176    /* TODO: mgs_load_files takes care of most of these now, verify
1177     * and clean up the following lines */
1178    gnutls_srvconf_assign(ca_list);
1179    gnutls_srvconf_assign(ca_list_size);
1180    gnutls_srvconf_assign(cert_pgp);
1181    gnutls_srvconf_assign(cert_crt_pgp);
1182    gnutls_srvconf_assign(pgp_list);
1183    gnutls_srvconf_assign(certs);
1184    gnutls_srvconf_assign(anon_creds);
1185    gnutls_srvconf_assign(srp_creds);
1186    gnutls_srvconf_assign(certs_x509_chain);
1187    gnutls_srvconf_assign(certs_x509_crt_chain);
1188    gnutls_srvconf_assign(certs_x509_chain_num);
1189
1190    /* how do these get transferred cleanly before the data from ADD
1191     * goes away? */
1192    gnutls_srvconf_assign(cert_cn);
1193    for (i = 0; i < MAX_CERT_SAN; i++)
1194        gnutls_srvconf_assign(cert_san[i]);
1195
1196    return sc;
1197}
1198
1199#undef gnutls_srvconf_merge
1200#undef gnutls_srvconf_assign
1201
1202void *mgs_config_dir_merge(apr_pool_t * p,
1203                           void *basev __attribute__((unused)),
1204                           void *addv __attribute__((unused))) {
1205    mgs_dirconf_rec *new;
1206    /*    mgs_dirconf_rec *base = (mgs_dirconf_rec *) basev; */
1207    mgs_dirconf_rec *add = (mgs_dirconf_rec *) addv;
1208
1209    new = (mgs_dirconf_rec *) apr_pcalloc(p, sizeof(mgs_dirconf_rec));
1210    new->client_verify_mode = add->client_verify_mode;
1211    return new;
1212}
1213
1214void *mgs_config_dir_create(apr_pool_t * p,
1215                            char *dir __attribute__((unused))) {
1216    mgs_dirconf_rec *dc = apr_palloc(p, sizeof (*dc));
1217    dc->client_verify_mode = -1;
1218    return dc;
1219}
1220
1221
1222
1223/*
1224 * Store paths to proxy credentials
1225 *
1226 * This function copies the paths provided in the configuration file
1227 * into the server configuration. The post configuration hook takes
1228 * care of actually loading the credentials, which means than invalid
1229 * paths or the like will be detected there.
1230 */
1231const char *mgs_store_cred_path(cmd_parms * parms,
1232                                void *dummy __attribute__((unused)),
1233                                const char *arg)
1234{
1235    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1236        ap_get_module_config(parms->server->module_config, &gnutls_module);
1237
1238    /* parms->directive->directive contains the directive string */
1239    if (!strcasecmp(parms->directive->directive, "GnuTLSProxyKeyFile"))
1240        sc->proxy_x509_key_file = apr_pstrdup(parms->pool, arg);
1241    else if (!strcasecmp(parms->directive->directive,
1242                         "GnuTLSProxyCertificateFile"))
1243        sc->proxy_x509_cert_file = apr_pstrdup(parms->pool, arg);
1244    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCAFile"))
1245        sc->proxy_x509_ca_file = apr_pstrdup(parms->pool, arg);
1246    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCRLFile"))
1247        sc->proxy_x509_crl_file = apr_pstrdup(parms->pool, arg);
1248    return NULL;
1249}
1250
1251
1252
1253/*
1254 * Record PKCS #11 module to load. Note that the value is only used in
1255 * the base config, settings in virtual hosts are ignored.
1256 */
1257const char *mgs_set_p11_module(cmd_parms * parms,
1258                               void *dummy __attribute__((unused)),
1259                               const char *arg)
1260{
1261    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1262        ap_get_module_config(parms->server->module_config, &gnutls_module);
1263    /* initialize PKCS #11 module list if necessary */
1264    if (sc->p11_modules == NULL)
1265        sc->p11_modules = apr_array_make(parms->pool, 2, sizeof(char*));
1266
1267    *(char **) apr_array_push(sc->p11_modules) = apr_pstrdup(parms->pool, arg);
1268
1269    return NULL;
1270}
Note: See TracBrowser for help on using the repository browser.