source: mod_gnutls/src/gnutls_config.c @ 45b7b83

debian/masterdebian/stretch-backportsupstream
Last change on this file since 45b7b83 was 45b7b83, checked in by Thomas Klute <thomas2.klute@…>, 3 years ago

Deinit PGP private key and keyring on config pool cleanup

  • Property mode set to 100644
File size: 39.9 KB
Line 
1/**
2 *  Copyright 2004-2005 Paul Querna
3 *  Copyright 2008, 2014 Nikos Mavrogiannopoulos
4 *  Copyright 2011 Dash Shendy
5 *  Copyright 2015-2016 Thomas Klute
6 *
7 *  Licensed under the Apache License, Version 2.0 (the "License");
8 *  you may not use this file except in compliance with the License.
9 *  You may obtain a copy of the License at
10 *
11 *      http://www.apache.org/licenses/LICENSE-2.0
12 *
13 *  Unless required by applicable law or agreed to in writing, software
14 *  distributed under the License is distributed on an "AS IS" BASIS,
15 *  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 *  See the License for the specific language governing permissions and
17 *  limitations under the License.
18 *
19 */
20
21#include "mod_gnutls.h"
22#include "apr_lib.h"
23#include <gnutls/abstract.h>
24
25#define INIT_CA_SIZE 128
26/* Default OCSP response grace time in seconds */
27#define MGS_GRACE_TIME 60
28
29#ifdef APLOG_USE_MODULE
30APLOG_USE_MODULE(gnutls);
31#endif
32
33static int pin_callback(void *user, int attempt __attribute__((unused)),
34                        const char *token_url __attribute__((unused)),
35                        const char *token_label, unsigned int flags,
36                        char *pin, size_t pin_max)
37{
38    mgs_srvconf_rec *sc = user;
39
40    if (sc->pin == NULL || flags & GNUTLS_PIN_FINAL_TRY ||
41        flags & GNUTLS_PIN_WRONG) {
42        return -1;
43    }
44
45    if (token_label && strcmp(token_label, "SRK") == 0) {
46         snprintf(pin, pin_max, "%s", sc->srk_pin);
47    } else {
48         snprintf(pin, pin_max, "%s", sc->pin);
49    }
50    return 0;
51}
52
53static int load_datum_from_file(apr_pool_t * pool,
54                                const char *file, gnutls_datum_t * data)
55{
56    apr_file_t *fp;
57    apr_finfo_t finfo;
58    apr_status_t rv;
59    apr_size_t br = 0;
60
61    rv = apr_file_open(&fp, file, APR_READ | APR_BINARY,
62                       APR_OS_DEFAULT, pool);
63    if (rv != APR_SUCCESS) {
64        return rv;
65    }
66
67    rv = apr_file_info_get(&finfo, APR_FINFO_SIZE, fp);
68
69    if (rv != APR_SUCCESS) {
70        return rv;
71    }
72
73    data->data = apr_palloc(pool, finfo.size + 1);
74    rv = apr_file_read_full(fp, data->data, finfo.size, &br);
75
76    if (rv != APR_SUCCESS) {
77        return rv;
78    }
79    apr_file_close(fp);
80
81    data->data[br] = '\0';
82    data->size = br;
83
84    return 0;
85}
86
87/* 2048-bit group parameters from SRP specification */
88const char static_dh_params[] = "-----BEGIN DH PARAMETERS-----\n"
89        "MIIBBwKCAQCsa9tBMkqam/Fm3l4TiVgvr3K2ZRmH7gf8MZKUPbVgUKNzKcu0oJnt\n"
90        "gZPgdXdnoT3VIxKrSwMxDc1/SKnaBP1Q6Ag5ae23Z7DPYJUXmhY6s2YaBfvV+qro\n"
91        "KRipli8Lk7hV+XmT7Jde6qgNdArb9P90c1nQQdXDPqcdKB5EaxR3O8qXtDoj+4AW\n"
92        "dr0gekNsZIHx0rkHhxdGGludMuaI+HdIVEUjtSSw1X1ep3onddLs+gMs+9v1L7N4\n"
93        "YWAnkATleuavh05zA85TKZzMBBx7wwjYKlaY86jQw4JxrjX46dv7tpS1yAPYn3rk\n"
94        "Nd4jbVJfVHWbZeNy/NaO8g+nER+eSv9zAgEC\n"
95        "-----END DH PARAMETERS-----\n";
96
97/*
98 * Clean up the various GnuTLS data structures allocated from
99 * mgs_load_files()
100 */
101static apr_status_t mgs_pool_free_credentials(void *arg)
102{
103    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) arg;
104
105    if (sc->certs)
106    {
107        gnutls_certificate_free_credentials(sc->certs);
108        sc->certs = NULL;
109    }
110
111    if (sc->anon_creds)
112    {
113        gnutls_anon_free_server_credentials(sc->anon_creds);
114        sc->anon_creds = NULL;
115    }
116
117#ifdef ENABLE_SRP
118    if (sc->srp_creds)
119    {
120        gnutls_srp_free_server_credentials(sc->srp_creds);
121        sc->srp_creds = NULL;
122    }
123#endif
124
125    if (sc->dh_params)
126    {
127        gnutls_dh_params_deinit(sc->dh_params);
128        sc->dh_params = NULL;
129    }
130
131    for (unsigned int i = 0; i < sc->certs_x509_chain_num; i++)
132    {
133        gnutls_pcert_deinit(&sc->certs_x509_chain[i]);
134        gnutls_x509_crt_deinit(sc->certs_x509_crt_chain[i]);
135    }
136
137    if (sc->privkey_x509)
138    {
139        gnutls_privkey_deinit(sc->privkey_x509);
140        sc->privkey_x509 = NULL;
141    }
142
143    if (sc->ca_list)
144    {
145        for (unsigned int i = 0; i < sc->ca_list_size; i++)
146        {
147            gnutls_x509_crt_deinit(sc->ca_list[i]);
148        }
149        gnutls_free(sc->ca_list);
150        sc->ca_list = NULL;
151    }
152
153    if (sc->privkey_pgp)
154    {
155        gnutls_privkey_deinit(sc->privkey_pgp);
156        sc->privkey_pgp = NULL;
157#if GNUTLS_VERSION_NUMBER < 0x030312
158        gnutls_openpgp_privkey_deinit(sc->privkey_pgp_internal);
159        sc->privkey_pgp_internal = NULL;
160#endif
161    }
162
163    if (sc->pgp_list)
164    {
165        gnutls_openpgp_keyring_deinit(sc->pgp_list);
166        sc->pgp_list = NULL;
167    }
168
169    if (sc->priorities)
170    {
171        gnutls_priority_deinit(sc->priorities);
172        sc->priorities = NULL;
173    }
174
175    return APR_SUCCESS;
176}
177
178int mgs_load_files(apr_pool_t * p, server_rec * s)
179{
180    apr_pool_t *spool;
181    const char *file;
182    gnutls_datum_t data;
183    int ret;
184    mgs_srvconf_rec *sc =
185        (mgs_srvconf_rec *) ap_get_module_config(s->module_config,
186                                                 &gnutls_module);
187
188    apr_pool_create(&spool, p);
189
190    sc->cert_pgp = apr_pcalloc(p, sizeof(sc->cert_pgp[0]));
191    sc->cert_crt_pgp = apr_pcalloc(p, sizeof(sc->cert_crt_pgp[0]));
192    sc->certs_x509_chain =
193        apr_pcalloc(p, MAX_CHAIN_SIZE * sizeof(sc->certs_x509_chain[0]));
194    sc->certs_x509_crt_chain =
195        apr_pcalloc(p, MAX_CHAIN_SIZE * sizeof(sc->certs_x509_crt_chain[0]));
196
197    /* Cleanup function for the GnuTLS structures allocated below */
198    apr_pool_cleanup_register(p, sc, mgs_pool_free_credentials,
199                              apr_pool_cleanup_null);
200
201    if (sc->certs == NULL)
202    {
203        ret = gnutls_certificate_allocate_credentials(&sc->certs);
204        if (ret < 0) {
205            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
206                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
207                         gnutls_strerror(ret));
208            ret = -1;
209            goto cleanup;
210        }
211    }
212
213    if (sc->anon_creds == NULL)
214    {
215        ret = gnutls_anon_allocate_server_credentials(&sc->anon_creds);
216        if (ret < 0) {
217            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
218                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
219                         gnutls_strerror(ret));
220            ret = -1;
221            goto cleanup;
222        }
223    }
224
225    /* Load SRP parameters */
226#ifdef ENABLE_SRP
227    if (sc->srp_creds == NULL)
228    {
229        ret = gnutls_srp_allocate_server_credentials(&sc->srp_creds);
230        if (ret < 0) {
231            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
232                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
233                         gnutls_strerror(ret));
234            ret = -1;
235            goto cleanup;
236        }
237    }
238
239    if (sc->srp_tpasswd_conf_file != NULL && sc->srp_tpasswd_file != NULL)
240    {
241        ret = gnutls_srp_set_server_credentials_file
242            (sc->srp_creds, sc->srp_tpasswd_file,
243             sc->srp_tpasswd_conf_file);
244
245        if (ret < 0 && sc->enabled == GNUTLS_ENABLED_TRUE) {
246            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
247                         "GnuTLS: Host '%s:%d' is missing a "
248                         "SRP password or conf File!",
249                         s->server_hostname, s->port);
250            ret = -1;
251            goto cleanup;
252        }
253    }
254#endif
255
256    if (sc->dh_params == NULL)
257    {
258        ret = gnutls_dh_params_init(&sc->dh_params);
259        if (ret < 0) {
260            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
261                         "GnuTLS: Failed to initialize"
262                         ": (%d) %s", ret, gnutls_strerror(ret));
263            ret = -1;
264            goto cleanup;
265        }
266
267        /* Load DH parameters */
268        if (sc->dh_file)
269        {
270            if (load_datum_from_file(spool, sc->dh_file, &data) != 0) {
271                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
272                             "GnuTLS: Error Reading " "DH params '%s'", sc->dh_file);
273                ret = -1;
274                goto cleanup;
275            }
276
277            ret =
278                gnutls_dh_params_import_pkcs3(sc->dh_params, &data,
279                                              GNUTLS_X509_FMT_PEM);
280            if (ret < 0) {
281                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
282                             "GnuTLS: Failed to Import "
283                             "DH params '%s': (%d) %s", sc->dh_file, ret,
284                             gnutls_strerror(ret));
285                ret = -1;
286                goto cleanup;
287            }
288        } else {
289            gnutls_datum_t pdata = {
290                (void *) static_dh_params,
291                sizeof(static_dh_params)
292            };
293
294            ret = gnutls_dh_params_import_pkcs3(sc->dh_params, &pdata, GNUTLS_X509_FMT_PEM);
295            if (ret < 0) {
296                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
297                             "GnuTLS: Unable to generate or load DH Params: (%d) %s",
298                             ret, gnutls_strerror(ret));
299                ret = -1;
300                goto cleanup;
301            }
302        }
303    }
304
305    if (sc->x509_cert_file != NULL && sc->certs_x509_crt_chain[0] == NULL)
306    {
307        unsigned int chain_num = MAX_CHAIN_SIZE;
308        unsigned format = GNUTLS_X509_FMT_PEM;
309
310        /* Load X.509 certificate */
311        if (strncmp(sc->x509_cert_file, "pkcs11:", 7) == 0) {
312            gnutls_pkcs11_obj_t obj;
313
314            file = sc->x509_cert_file;
315
316            ret = gnutls_pkcs11_obj_init(&obj);
317            if (ret < 0) {
318                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
319                             "GnuTLS: Error Initializing PKCS #11 object");
320                ret = -1;
321                goto cleanup;
322            }
323
324            gnutls_pkcs11_obj_set_pin_function(obj, pin_callback, sc);
325
326            ret = gnutls_pkcs11_obj_import_url(obj, file,
327                                               GNUTLS_PKCS11_OBJ_FLAG_LOGIN);
328            if (ret < 0) {
329                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
330                             "GnuTLS: Error Importing PKCS #11 object: "
331                             "'%s': %s",
332                             file, gnutls_strerror(ret));
333                ret = -1;
334                goto cleanup;
335            }
336
337            format = GNUTLS_X509_FMT_DER;
338            ret = gnutls_pkcs11_obj_export2(obj, &data);
339            if (ret < 0) {
340                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
341                             "GnuTLS: Error Exporting a PKCS #11 object: "
342                             "'%s': %s",
343                             file, gnutls_strerror(ret));
344                ret = -1;
345                goto cleanup;
346            }
347
348            gnutls_pkcs11_obj_deinit(obj);
349        } else {
350            file = ap_server_root_relative(spool, sc->x509_cert_file);
351
352            ret = gnutls_load_file(file, &data);
353            if (ret < 0) {
354                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
355                             "GnuTLS: Error Reading Certificate '%s': %s",
356                             file, gnutls_strerror(ret));
357                ret = -1;
358                goto cleanup;
359            }
360        }
361
362        ret = gnutls_x509_crt_list_import(sc->certs_x509_crt_chain,
363                                          &chain_num, &data, format,
364                                          GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED);
365        gnutls_free(data.data);
366        sc->certs_x509_chain_num = chain_num;
367
368        if (ret < 0) {
369            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
370                         "GnuTLS: Failed to Import Certificate Chain "
371                         "'%s': (%d) %s",
372                         file, ret, gnutls_strerror(ret));
373            ret = -1;
374            goto cleanup;
375        }
376
377        for (unsigned int i = 0; i < chain_num; i++)
378        {
379            ret =
380                gnutls_pcert_import_x509(&sc->certs_x509_chain[i],
381                                         sc->certs_x509_crt_chain[i], 0);
382            if (ret < 0) {
383                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
384                             "GnuTLS: Failed to Import pCertificate "
385                             "'%s': (%d) %s",
386                             file, ret, gnutls_strerror(ret));
387                ret = -1;
388                goto cleanup;
389            }
390        }
391        sc->certs_x509_chain_num = chain_num;
392    }
393
394    if (sc->x509_key_file && sc->privkey_x509 == NULL)
395    {
396        ret = gnutls_privkey_init(&sc->privkey_x509);
397        if (ret < 0) {
398            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
399                         "GnuTLS: Failed to initialize: (%d) %s", ret,
400                         gnutls_strerror(ret));
401            ret = -1;
402            goto cleanup;
403        }
404
405        if (gnutls_url_is_supported(sc->x509_key_file) != 0) {
406            file = sc->x509_key_file;
407
408            gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback,
409                                            sc);
410
411            ret = gnutls_privkey_import_url(sc->privkey_x509, file, 0);
412
413            if (ret < 0) {
414                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
415                             "GnuTLS: Failed to Import Private Key URL "
416                             "'%s': (%d) %s",
417                             file, ret, gnutls_strerror(ret));
418                ret = -1;
419                goto cleanup;
420            }
421        } else {
422            file = ap_server_root_relative(spool, sc->x509_key_file);
423
424            if (load_datum_from_file(spool, file, &data) != 0) {
425                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
426                             "GnuTLS: Error Reading Private Key '%s'",
427                             file);
428                ret = -1;
429                goto cleanup;
430            }
431
432            ret =
433                gnutls_privkey_import_x509_raw(sc->privkey_x509, &data,
434                                               GNUTLS_X509_FMT_PEM, sc->pin,
435                                               0);
436
437            if (ret < 0) {
438                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
439                             "GnuTLS: Failed to Import Private Key "
440                             "'%s': (%d) %s",
441                             file, ret, gnutls_strerror(ret));
442                ret = -1;
443                goto cleanup;
444            }
445        }
446    }
447
448    /* Load the X.509 CA file */
449    if (sc->x509_ca_file)
450    {
451        if (load_datum_from_file(spool, sc->x509_ca_file, &data) != 0) {
452            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
453                         "GnuTLS: Error Reading " "Client CA File '%s'",
454                         sc->x509_ca_file);
455            ret = -1;
456            goto cleanup;
457        }
458
459        ret = gnutls_x509_crt_list_import2(&sc->ca_list, &sc->ca_list_size,
460                                           &data, GNUTLS_X509_FMT_PEM, 0);
461        if (ret < 0) {
462            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
463                         "GnuTLS: Failed to load "
464                         "Client CA File '%s': (%d) %s", sc->x509_ca_file,
465                         ret, gnutls_strerror(ret));
466            ret = -1;
467            goto cleanup;
468        }
469    }
470
471    if (sc->pgp_cert_file)
472    {
473        if (load_datum_from_file(spool, sc->pgp_cert_file, &data) != 0) {
474            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
475                         "GnuTLS: Error Reading " "Certificate '%s'",
476                         sc->pgp_cert_file);
477            ret = -1;
478            goto cleanup;
479        }
480
481        ret = gnutls_openpgp_crt_init(&sc->cert_crt_pgp[0]);
482        if (ret < 0) {
483            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
484                         "GnuTLS: Failed to Init "
485                         "PGP Certificate: (%d) %s", ret,
486                         gnutls_strerror(ret));
487            ret = -1;
488            goto cleanup;
489        }
490
491        ret = gnutls_openpgp_crt_import(sc->cert_crt_pgp[0], &data,
492                                        GNUTLS_OPENPGP_FMT_BASE64);
493        if (ret < 0) {
494            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
495                         "GnuTLS: Failed to Import "
496                         "PGP Certificate: (%d) %s", ret,
497                         gnutls_strerror(ret));
498            ret = -1;
499            goto cleanup;
500        }
501
502        ret = gnutls_pcert_import_openpgp(sc->cert_pgp,
503                                          sc->cert_crt_pgp[0], 0);
504        if (ret < 0) {
505            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
506                         "GnuTLS: Failed to Import "
507                         "PGP pCertificate: (%d) %s", ret,
508                         gnutls_strerror(ret));
509            ret = -1;
510            goto cleanup;
511        }
512    }
513
514    /* Load the PGP key file */
515    if (sc->pgp_key_file && sc->privkey_pgp == NULL)
516    {
517        if (load_datum_from_file(spool, sc->pgp_key_file, &data) != 0) {
518            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
519                         "GnuTLS: Error Reading " "Private Key '%s'",
520                         sc->pgp_key_file);
521            ret = -1;
522            goto cleanup;
523        }
524
525        ret = gnutls_privkey_init(&sc->privkey_pgp);
526        if (ret < 0) {
527            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
528                         "GnuTLS: Failed to initialize"
529                         ": (%d) %s", ret, gnutls_strerror(ret));
530            ret = -1;
531            goto cleanup;
532        }
533
534#if GNUTLS_VERSION_NUMBER < 0x030312
535        /* GnuTLS versions before 3.3.12 contain a bug in
536         * gnutls_privkey_import_openpgp_raw which frees data that is
537         * accessed when the key is used, leading to segfault. Loading
538         * the key into a gnutls_openpgp_privkey_t and then assigning
539         * it to the gnutls_privkey_t works around the bug, hence this
540         * chain of gnutls_openpgp_privkey_init,
541         * gnutls_openpgp_privkey_import and
542         * gnutls_privkey_import_openpgp. */
543        ret = gnutls_openpgp_privkey_init(&sc->privkey_pgp_internal);
544        if (ret != 0) {
545            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
546                         "GnuTLS: Failed to initialize "
547                         "PGP Private Key '%s': (%d) %s",
548                         sc->pgp_key_file, ret, gnutls_strerror(ret));
549            ret = -1;
550            goto cleanup;
551        }
552
553        ret = gnutls_openpgp_privkey_import(sc->privkey_pgp_internal, &data,
554                                            GNUTLS_OPENPGP_FMT_BASE64, NULL, 0);
555        if (ret != 0) {
556            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
557                         "GnuTLS: Failed to Import "
558                         "PGP Private Key '%s': (%d) %s",
559                         sc->pgp_key_file, ret, gnutls_strerror(ret));
560            ret = -1;
561            goto cleanup;
562        }
563
564        ret = gnutls_privkey_import_openpgp(sc->privkey_pgp,
565                                            sc->privkey_pgp_internal, 0);
566        if (ret != 0)
567        {
568            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
569                         "GnuTLS: Failed to assign PGP Private Key '%s' "
570                         "to gnutls_privkey_t structure: (%d) %s",
571                         sc->pgp_key_file, ret, gnutls_strerror(ret));
572            ret = -1;
573            goto cleanup;
574        }
575#else
576        ret = gnutls_privkey_import_openpgp_raw(sc->privkey_pgp, &data,
577                                                GNUTLS_OPENPGP_FMT_BASE64,
578                                                NULL, NULL);
579        if (ret != 0)
580        {
581            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
582                         "GnuTLS: Failed to Import "
583                         "PGP Private Key '%s': (%d) %s",
584                         sc->pgp_key_file, ret, gnutls_strerror(ret));
585            ret = -1;
586            goto cleanup;
587        }
588#endif
589    }
590
591    /* Load the keyring file */
592    if (sc->pgp_ring_file && sc->pgp_list == NULL)
593    {
594        if (load_datum_from_file(spool, sc->pgp_ring_file, &data) != 0) {
595            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
596                         "GnuTLS: Error Reading " "Keyring File '%s'",
597                         sc->pgp_ring_file);
598            ret = -1;
599            goto cleanup;
600        }
601
602        ret = gnutls_openpgp_keyring_init(&sc->pgp_list);
603        if (ret < 0) {
604            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
605                         "GnuTLS: Failed to initialize"
606                         "keyring: (%d) %s", ret, gnutls_strerror(ret));
607            ret = -1;
608            goto cleanup;
609        }
610
611        ret = gnutls_openpgp_keyring_import(sc->pgp_list, &data,
612                                            GNUTLS_OPENPGP_FMT_BASE64);
613        if (ret < 0) {
614            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
615                         "GnuTLS: Failed to load "
616                         "Keyring File '%s': (%d) %s", sc->pgp_ring_file,
617                         ret, gnutls_strerror(ret));
618            ret = -1;
619            goto cleanup;
620        }
621    }
622
623    if (sc->priorities_str && sc->priorities == NULL)
624    {
625        const char *err;
626        ret = gnutls_priority_init(&sc->priorities, sc->priorities_str, &err);
627
628        if (ret < 0) {
629            if (ret == GNUTLS_E_INVALID_REQUEST) {
630                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
631                             "GnuTLS: Syntax error parsing priorities string at: %s",
632                             err);
633            } else {
634                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
635                             "GnuTLS: error parsing priorities string");
636
637            }
638            ret = -1;
639            goto cleanup;
640        }
641    }
642
643    ret = 0;
644 cleanup:
645    apr_pool_destroy(spool);
646
647    return ret;
648}
649
650int mgs_pkcs11_reinit(server_rec * base_server)
651{
652    int ret;
653    server_rec *s;
654    mgs_srvconf_rec *sc;
655
656    gnutls_pkcs11_reinit();
657
658    for (s = base_server; s; s = s->next) {
659        sc = (mgs_srvconf_rec *) ap_get_module_config(s->module_config, &gnutls_module);
660
661            /* gnutls caches the session in a private key, so we need to open
662             * a new one */
663            if (sc->x509_key_file && gnutls_url_is_supported(sc->x509_key_file) != 0) {
664                gnutls_privkey_deinit(sc->privkey_x509);
665
666                ret = gnutls_privkey_init(&sc->privkey_x509);
667                if (ret < 0) {
668                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
669                                 "GnuTLS: Failed to initialize: (%d) %s", ret,
670                                 gnutls_strerror(ret));
671                    goto fail;
672                }
673
674                gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback, sc);
675
676                ret = gnutls_privkey_import_url(sc->privkey_x509, sc->x509_key_file, 0);
677                if (ret < 0) {
678                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
679                             "GnuTLS: Failed to Re-Import Private Key URL '%s': (%d) %s",
680                             sc->x509_key_file, ret, gnutls_strerror(ret));
681                    goto fail;
682                }
683            }
684    }
685
686    return 0;
687
688 fail:
689    gnutls_privkey_deinit(sc->privkey_x509);
690    return -1;
691}
692
693const char *mgs_set_dh_file(cmd_parms * parms, void *dummy __attribute__((unused)),
694        const char *arg) {
695    mgs_srvconf_rec *sc =
696        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
697                                                 module_config,
698                                                 &gnutls_module);
699
700    sc->dh_file = ap_server_root_relative(parms->pool, arg);
701
702    return NULL;
703}
704
705const char *mgs_set_cert_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
706
707    mgs_srvconf_rec *sc =
708        (mgs_srvconf_rec *) ap_get_module_config(parms->
709                                                 server->module_config,
710                                                 &gnutls_module);
711
712    sc->x509_cert_file = apr_pstrdup(parms->pool, arg);
713
714    return NULL;
715
716}
717
718const char *mgs_set_key_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
719
720    mgs_srvconf_rec *sc =
721        (mgs_srvconf_rec *) ap_get_module_config(parms->
722                                                 server->module_config,
723                                                 &gnutls_module);
724
725    sc->x509_key_file = apr_pstrdup(parms->pool, arg);
726
727    return NULL;
728}
729
730const char *mgs_set_pgpcert_file(cmd_parms * parms, void *dummy __attribute__((unused)),
731        const char *arg)
732{
733    mgs_srvconf_rec *sc =
734        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
735                                                 module_config,
736                                                 &gnutls_module);
737
738    sc->pgp_cert_file = ap_server_root_relative(parms->pool, arg);
739
740    return NULL;
741}
742
743const char *mgs_set_pgpkey_file(cmd_parms * parms, void *dummy __attribute__((unused)),
744        const char *arg) {
745    mgs_srvconf_rec *sc =
746        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
747                                                 module_config,
748                                                 &gnutls_module);
749
750    sc->pgp_key_file = ap_server_root_relative(parms->pool, arg);
751
752    return NULL;
753}
754
755const char *mgs_set_tickets(cmd_parms *parms,
756                            void *dummy __attribute__((unused)),
757                            const int arg)
758{
759    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
760        ap_get_module_config(parms->server->module_config, &gnutls_module);
761
762    if (arg)
763        sc->tickets = GNUTLS_ENABLED_TRUE;
764    else
765        sc->tickets = GNUTLS_ENABLED_FALSE;
766
767    return NULL;
768}
769
770
771#ifdef ENABLE_SRP
772
773const char *mgs_set_srp_tpasswd_file(cmd_parms * parms, void *dummy __attribute__((unused)),
774        const char *arg) {
775    mgs_srvconf_rec *sc =
776        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
777                                                 module_config,
778                                                 &gnutls_module);
779
780    sc->srp_tpasswd_file = ap_server_root_relative(parms->pool, arg);
781
782    return NULL;
783}
784
785const char *mgs_set_srp_tpasswd_conf_file(cmd_parms * parms, void *dummy __attribute__((unused)),
786        const char *arg) {
787    mgs_srvconf_rec *sc =
788        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
789                                                 module_config,
790                                                 &gnutls_module);
791
792    sc->srp_tpasswd_conf_file = ap_server_root_relative(parms->pool, arg);
793
794    return NULL;
795}
796
797#endif
798
799const char *mgs_set_cache(cmd_parms * parms, void *dummy __attribute__((unused)),
800        const char *type, const char *arg) {
801    const char *err;
802    mgs_srvconf_rec *sc =
803        ap_get_module_config(parms->server->module_config,
804                             &gnutls_module);
805    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY))) {
806        return err;
807    }
808
809    if (strcasecmp("none", type) == 0) {
810        sc->cache_type = mgs_cache_none;
811        sc->cache_config = NULL;
812        return NULL;
813    } else if (strcasecmp("dbm", type) == 0) {
814        sc->cache_type = mgs_cache_dbm;
815    } else if (strcasecmp("gdbm", type) == 0) {
816        sc->cache_type = mgs_cache_gdbm;
817    }
818#if HAVE_APR_MEMCACHE
819    else if (strcasecmp("memcache", type) == 0) {
820        sc->cache_type = mgs_cache_memcache;
821    }
822#endif
823    else {
824        return "Invalid Type for GnuTLSCache!";
825    }
826
827    if (arg == NULL)
828        return "Invalid argument 2 for GnuTLSCache!";
829
830    if (sc->cache_type == mgs_cache_dbm
831        || sc->cache_type == mgs_cache_gdbm) {
832        sc->cache_config = ap_server_root_relative(parms->pool, arg);
833    } else {
834        sc->cache_config = apr_pstrdup(parms->pool, arg);
835    }
836
837    return NULL;
838}
839
840const char *mgs_set_timeout(cmd_parms * parms,
841                            void *dummy __attribute__((unused)),
842                            const char *arg)
843{
844    const char *err;
845    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY)))
846        return err;
847
848    apr_int64_t argint = apr_atoi64(arg);
849    if (argint < 0)
850        return apr_psprintf(parms->pool, "%s: Invalid argument",
851                            parms->directive->directive);
852
853    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
854        ap_get_module_config(parms->server->module_config, &gnutls_module);
855
856    if (!apr_strnatcasecmp(parms->directive->directive, "GnuTLSCacheTimeout"))
857        sc->cache_timeout = apr_time_from_sec(argint);
858    else if (!apr_strnatcasecmp(parms->directive->directive,
859                                "GnuTLSOCSPGraceTime"))
860        sc->ocsp_grace_time = apr_time_from_sec(argint);
861    else
862        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
863        return apr_psprintf(parms->pool,
864                            "mod_gnutls: %s called for invalid option '%s'",
865                            __func__, parms->directive->directive);
866
867    return NULL;
868}
869
870const char *mgs_set_client_verify_method(cmd_parms * parms, void *dummy __attribute__((unused)),
871        const char *arg) {
872    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)ap_get_module_config(parms->server->module_config, &gnutls_module);
873
874    if (strcasecmp("cartel", arg) == 0) {
875        sc->client_verify_method = mgs_cvm_cartel;
876    } else if (strcasecmp("msva", arg) == 0) {
877#ifdef ENABLE_MSVA
878        sc->client_verify_method = mgs_cvm_msva;
879#else
880        return "GnuTLSClientVerifyMethod: msva is not supported";
881#endif
882    } else {
883        return "GnuTLSClientVerifyMethod: Invalid argument";
884    }
885
886    return NULL;
887}
888
889const char *mgs_set_client_verify(cmd_parms * parms,
890                                  void *dirconf,
891                                  const char *arg) {
892    int mode;
893
894    if (strcasecmp("none", arg) == 0 || strcasecmp("ignore", arg) == 0) {
895        mode = GNUTLS_CERT_IGNORE;
896    } else if (strcasecmp("optional", arg) == 0
897               || strcasecmp("request", arg) == 0) {
898        mode = GNUTLS_CERT_REQUEST;
899    } else if (strcasecmp("require", arg) == 0) {
900        mode = GNUTLS_CERT_REQUIRE;
901    } else {
902        return "GnuTLSClientVerify: Invalid argument";
903    }
904
905    /* This was set from a directory context */
906    if (parms->path) {
907        mgs_dirconf_rec *dc = (mgs_dirconf_rec *) dirconf;
908        dc->client_verify_mode = mode;
909    } else {
910        mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
911            ap_get_module_config(parms->server->module_config,
912                                 &gnutls_module);
913        sc->client_verify_mode = mode;
914    }
915
916    return NULL;
917}
918
919const char *mgs_set_client_ca_file(cmd_parms * parms, void *dummy __attribute__((unused)),
920        const char *arg) {
921    mgs_srvconf_rec *sc =
922        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
923                                                 module_config,
924                                                 &gnutls_module);
925
926    sc->x509_ca_file = ap_server_root_relative(parms->pool, arg);
927
928    return NULL;
929}
930
931const char *mgs_set_keyring_file(cmd_parms * parms, void *dummy __attribute__((unused)),
932        const char *arg) {
933    mgs_srvconf_rec *sc =
934        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
935                                                 module_config,
936                                                 &gnutls_module);
937
938    sc->pgp_ring_file = ap_server_root_relative(parms->pool, arg);
939
940    return NULL;
941}
942
943/*
944 * Enable TLS proxy operation if arg is true, disable it otherwise.
945 */
946const char *mgs_set_proxy_engine(cmd_parms *parms,
947                                 void *dummy __attribute__((unused)),
948                                 const int arg)
949{
950    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
951        ap_get_module_config(parms->server->module_config, &gnutls_module);
952
953    if (arg)
954        sc->proxy_enabled = GNUTLS_ENABLED_TRUE;
955    else
956        sc->proxy_enabled = GNUTLS_ENABLED_FALSE;
957
958    return NULL;
959}
960
961/*
962 * Enable TLS for the server/vhost if arg is true, disable it
963 * otherwise.
964 */
965const char *mgs_set_enabled(cmd_parms *parms,
966                            void *dummy __attribute__((unused)),
967                            const int arg)
968{
969    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
970        ap_get_module_config(parms->server->module_config, &gnutls_module);
971
972    if (arg)
973        sc->enabled = GNUTLS_ENABLED_TRUE;
974    else
975        sc->enabled = GNUTLS_ENABLED_FALSE;
976
977    return NULL;
978}
979
980const char *mgs_set_export_certificates_size(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
981    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) ap_get_module_config(parms->server->module_config, &gnutls_module);
982    if (!strcasecmp(arg, "On")) {
983        sc->export_certificates_size = 16 * 1024;
984    } else if (!strcasecmp(arg, "Off")) {
985        sc->export_certificates_size = 0;
986    } else {
987        char *endptr;
988        sc->export_certificates_size = strtol(arg, &endptr, 10);
989        while (apr_isspace(*endptr))
990            endptr++;
991        if (*endptr == '\0' || *endptr == 'b' || *endptr == 'B') {
992            ;
993        } else if (*endptr == 'k' || *endptr == 'K') {
994            sc->export_certificates_size *= 1024;
995        } else {
996            return
997                "GnuTLSExportCertificates must be set to a size (in bytes) or 'On' or 'Off'";
998        }
999    }
1000
1001    return NULL;
1002}
1003
1004
1005
1006/*
1007 * Store GnuTLS priority strings. Used for GnuTLSPriorities and
1008 * GnuTLSProxyPriorities.
1009 */
1010const char *mgs_set_priorities(cmd_parms * parms,
1011                               void *dummy __attribute__((unused)),
1012                               const char *arg)
1013{
1014    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1015        ap_get_module_config(parms->server->module_config, &gnutls_module);
1016
1017    if (!strcasecmp(parms->directive->directive, "GnuTLSPriorities"))
1018        sc->priorities_str = apr_pstrdup(parms->pool, arg);
1019    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyPriorities"))
1020        sc->proxy_priorities_str = apr_pstrdup(parms->pool, arg);
1021    else
1022        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
1023        return apr_psprintf(parms->pool,
1024                            "mod_gnutls: %s called for invalid option '%s'",
1025                            __func__, parms->directive->directive);
1026
1027    return NULL;
1028}
1029
1030
1031
1032const char *mgs_set_pin(cmd_parms * parms, void *dummy __attribute__((unused)),
1033                        const char *arg)
1034{
1035
1036    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1037        ap_get_module_config(parms->server->module_config, &gnutls_module);
1038
1039    sc->pin = apr_pstrdup(parms->pool, arg);
1040
1041    return NULL;
1042}
1043
1044const char *mgs_set_srk_pin(cmd_parms * parms,
1045                            void *dummy __attribute__((unused)),
1046                            const char *arg)
1047{
1048
1049    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1050        ap_get_module_config(parms->server->module_config, &gnutls_module);
1051
1052    sc->srk_pin = apr_pstrdup(parms->pool, arg);
1053
1054    return NULL;
1055}
1056
1057
1058
1059static mgs_srvconf_rec *_mgs_config_server_create(apr_pool_t * p,
1060                                                  char **err __attribute__((unused)))
1061{
1062    mgs_srvconf_rec *sc = apr_pcalloc(p, sizeof(*sc));
1063
1064    sc->enabled = GNUTLS_ENABLED_UNSET;
1065
1066    sc->privkey_x509 = NULL;
1067    sc->anon_creds = NULL;
1068#ifdef ENABLE_SRP
1069    sc->srp_creds = NULL;
1070#endif
1071    sc->certs = NULL;
1072    sc->certs_x509_chain_num = 0;
1073    sc->p11_modules = NULL;
1074    sc->pin = NULL;
1075
1076    sc->privkey_pgp = NULL;
1077#if GNUTLS_VERSION_NUMBER < 0x030312
1078    sc->privkey_pgp_internal = NULL;
1079#endif
1080    sc->pgp_list = NULL;
1081
1082    sc->priorities_str = NULL;
1083    sc->cache_timeout = -1;     /* -1 means "unset" */
1084    sc->cache_type = mgs_cache_unset;
1085    sc->cache_config = NULL;
1086    sc->cache = NULL;
1087    sc->tickets = GNUTLS_ENABLED_UNSET;
1088    sc->priorities = NULL;
1089    sc->dh_params = NULL;
1090    sc->ca_list = NULL;
1091    sc->ca_list_size = 0;
1092    sc->proxy_enabled = GNUTLS_ENABLED_UNSET;
1093    sc->export_certificates_size = -1;
1094    sc->client_verify_method = mgs_cvm_unset;
1095
1096    sc->proxy_x509_key_file = NULL;
1097    sc->proxy_x509_cert_file = NULL;
1098    sc->proxy_x509_ca_file = NULL;
1099    sc->proxy_x509_crl_file = NULL;
1100    sc->proxy_priorities_str = NULL;
1101    sc->proxy_priorities = NULL;
1102
1103    sc->ocsp_response_file = NULL;
1104    sc->ocsp_mutex = NULL;
1105    sc->ocsp_grace_time = apr_time_from_sec(MGS_GRACE_TIME);
1106
1107/* this relies on GnuTLS never changing the gnutls_certificate_request_t enum to define -1 */
1108    sc->client_verify_mode = -1;
1109
1110    return sc;
1111}
1112
1113void *mgs_config_server_create(apr_pool_t * p,
1114                               server_rec * s __attribute__((unused))) {
1115    char *err = NULL;
1116    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
1117    if (sc)
1118        return sc;
1119    else
1120        return err;
1121}
1122
1123#define gnutls_srvconf_merge(t, unset) sc->t = (add->t == unset) ? base->t : add->t
1124#define gnutls_srvconf_assign(t) sc->t = add->t
1125
1126void *mgs_config_server_merge(apr_pool_t * p, void *BASE, void *ADD)
1127{
1128    int i;
1129    char *err = NULL;
1130    mgs_srvconf_rec *base = (mgs_srvconf_rec *) BASE;
1131    mgs_srvconf_rec *add = (mgs_srvconf_rec *) ADD;
1132    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
1133    if (NULL == sc)
1134        return err;
1135
1136    gnutls_srvconf_merge(enabled, GNUTLS_ENABLED_UNSET);
1137    gnutls_srvconf_merge(tickets, GNUTLS_ENABLED_UNSET);
1138    gnutls_srvconf_merge(proxy_enabled, GNUTLS_ENABLED_UNSET);
1139    gnutls_srvconf_merge(export_certificates_size, -1);
1140    gnutls_srvconf_merge(client_verify_method, mgs_cvm_unset);
1141    gnutls_srvconf_merge(client_verify_mode, -1);
1142    gnutls_srvconf_merge(srp_tpasswd_file, NULL);
1143    gnutls_srvconf_merge(srp_tpasswd_conf_file, NULL);
1144    gnutls_srvconf_merge(x509_cert_file, NULL);
1145
1146    gnutls_srvconf_merge(x509_key_file, NULL);
1147    gnutls_srvconf_merge(x509_ca_file, NULL);
1148    gnutls_srvconf_merge(p11_modules, NULL);
1149    gnutls_srvconf_merge(pin, NULL);
1150    gnutls_srvconf_merge(pgp_cert_file, NULL);
1151    gnutls_srvconf_merge(pgp_key_file, NULL);
1152    gnutls_srvconf_merge(pgp_ring_file, NULL);
1153    gnutls_srvconf_merge(dh_file, NULL);
1154    gnutls_srvconf_merge(priorities_str, NULL);
1155
1156    gnutls_srvconf_merge(proxy_x509_key_file, NULL);
1157    gnutls_srvconf_merge(proxy_x509_cert_file, NULL);
1158    gnutls_srvconf_merge(proxy_x509_ca_file, NULL);
1159    gnutls_srvconf_merge(proxy_x509_crl_file, NULL);
1160    gnutls_srvconf_merge(proxy_priorities_str, NULL);
1161    gnutls_srvconf_merge(proxy_priorities, NULL);
1162
1163    gnutls_srvconf_assign(ocsp_response_file);
1164    gnutls_srvconf_merge(ocsp_grace_time, apr_time_from_sec(MGS_GRACE_TIME));
1165
1166    /* FIXME: the following items are pre-allocated, and should be
1167     * properly disposed of before assigning in order to avoid leaks;
1168     * so at the moment, we can't actually have them in the config.
1169     * what happens during de-allocation? */
1170    /* TODO: mgs_load_files takes care of most of these now, verify
1171     * and clean up the following lines */
1172    gnutls_srvconf_assign(ca_list);
1173    gnutls_srvconf_assign(ca_list_size);
1174    gnutls_srvconf_assign(cert_pgp);
1175    gnutls_srvconf_assign(cert_crt_pgp);
1176    gnutls_srvconf_assign(pgp_list);
1177    gnutls_srvconf_assign(certs);
1178    gnutls_srvconf_assign(anon_creds);
1179    gnutls_srvconf_assign(srp_creds);
1180    gnutls_srvconf_assign(certs_x509_chain);
1181    gnutls_srvconf_assign(certs_x509_crt_chain);
1182    gnutls_srvconf_assign(certs_x509_chain_num);
1183
1184    /* how do these get transferred cleanly before the data from ADD
1185     * goes away? */
1186    gnutls_srvconf_assign(cert_cn);
1187    for (i = 0; i < MAX_CERT_SAN; i++)
1188        gnutls_srvconf_assign(cert_san[i]);
1189
1190    return sc;
1191}
1192
1193#undef gnutls_srvconf_merge
1194#undef gnutls_srvconf_assign
1195
1196void *mgs_config_dir_merge(apr_pool_t * p,
1197                           void *basev __attribute__((unused)),
1198                           void *addv __attribute__((unused))) {
1199    mgs_dirconf_rec *new;
1200    /*    mgs_dirconf_rec *base = (mgs_dirconf_rec *) basev; */
1201    mgs_dirconf_rec *add = (mgs_dirconf_rec *) addv;
1202
1203    new = (mgs_dirconf_rec *) apr_pcalloc(p, sizeof(mgs_dirconf_rec));
1204    new->client_verify_mode = add->client_verify_mode;
1205    return new;
1206}
1207
1208void *mgs_config_dir_create(apr_pool_t * p,
1209                            char *dir __attribute__((unused))) {
1210    mgs_dirconf_rec *dc = apr_palloc(p, sizeof (*dc));
1211    dc->client_verify_mode = -1;
1212    return dc;
1213}
1214
1215
1216
1217/*
1218 * Store paths to proxy credentials
1219 *
1220 * This function copies the paths provided in the configuration file
1221 * into the server configuration. The post configuration hook takes
1222 * care of actually loading the credentials, which means than invalid
1223 * paths or the like will be detected there.
1224 */
1225const char *mgs_store_cred_path(cmd_parms * parms,
1226                                void *dummy __attribute__((unused)),
1227                                const char *arg)
1228{
1229    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1230        ap_get_module_config(parms->server->module_config, &gnutls_module);
1231
1232    /* parms->directive->directive contains the directive string */
1233    if (!strcasecmp(parms->directive->directive, "GnuTLSProxyKeyFile"))
1234        sc->proxy_x509_key_file = apr_pstrdup(parms->pool, arg);
1235    else if (!strcasecmp(parms->directive->directive,
1236                         "GnuTLSProxyCertificateFile"))
1237        sc->proxy_x509_cert_file = apr_pstrdup(parms->pool, arg);
1238    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCAFile"))
1239        sc->proxy_x509_ca_file = apr_pstrdup(parms->pool, arg);
1240    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCRLFile"))
1241        sc->proxy_x509_crl_file = apr_pstrdup(parms->pool, arg);
1242    return NULL;
1243}
1244
1245
1246
1247/*
1248 * Record PKCS #11 module to load. Note that the value is only used in
1249 * the base config, settings in virtual hosts are ignored.
1250 */
1251const char *mgs_set_p11_module(cmd_parms * parms,
1252                               void *dummy __attribute__((unused)),
1253                               const char *arg)
1254{
1255    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1256        ap_get_module_config(parms->server->module_config, &gnutls_module);
1257    /* initialize PKCS #11 module list if necessary */
1258    if (sc->p11_modules == NULL)
1259        sc->p11_modules = apr_array_make(parms->pool, 2, sizeof(char*));
1260
1261    *(char **) apr_array_push(sc->p11_modules) = apr_pstrdup(parms->pool, arg);
1262
1263    return NULL;
1264}
Note: See TracBrowser for help on using the repository browser.