source: mod_gnutls/src/gnutls_config.c @ 60868d2

debian/master
Last change on this file since 60868d2 was 60868d2, checked in by Fiona Klute <fiona.klute@…>, 12 months ago

Default to NORMAL for the GnuTLS priority settings

This simplifies configuration and should be resonable for most users.

  • Property mode set to 100644
File size: 33.2 KB
Line 
1/*
2 *  Copyright 2004-2005 Paul Querna
3 *  Copyright 2008, 2014 Nikos Mavrogiannopoulos
4 *  Copyright 2011 Dash Shendy
5 *  Copyright 2015-2018 Fiona Klute
6 *
7 *  Licensed under the Apache License, Version 2.0 (the "License");
8 *  you may not use this file except in compliance with the License.
9 *  You may obtain a copy of the License at
10 *
11 *      http://www.apache.org/licenses/LICENSE-2.0
12 *
13 *  Unless required by applicable law or agreed to in writing, software
14 *  distributed under the License is distributed on an "AS IS" BASIS,
15 *  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 *  See the License for the specific language governing permissions and
17 *  limitations under the License.
18 */
19
20#include "gnutls_cache.h"
21#include "gnutls_config.h"
22#include "mod_gnutls.h"
23#include "gnutls_ocsp.h"
24#include "apr_lib.h"
25#include <gnutls/abstract.h>
26
27#define INIT_CA_SIZE 128
28
29#ifdef APLOG_USE_MODULE
30APLOG_USE_MODULE(gnutls);
31#endif
32
33static int pin_callback(void *user, int attempt __attribute__((unused)),
34                        const char *token_url __attribute__((unused)),
35                        const char *token_label, unsigned int flags,
36                        char *pin, size_t pin_max)
37{
38    mgs_srvconf_rec *sc = user;
39
40    if (sc->pin == NULL || flags & GNUTLS_PIN_FINAL_TRY ||
41        flags & GNUTLS_PIN_WRONG) {
42        return -1;
43    }
44
45    if (token_label && strcmp(token_label, "SRK") == 0) {
46         snprintf(pin, pin_max, "%s", sc->srk_pin);
47    } else {
48         snprintf(pin, pin_max, "%s", sc->pin);
49    }
50    return 0;
51}
52
53static int load_datum_from_file(apr_pool_t * pool,
54                                const char *file, gnutls_datum_t * data)
55{
56    apr_file_t *fp;
57    apr_finfo_t finfo;
58    apr_status_t rv;
59    apr_size_t br = 0;
60
61    rv = apr_file_open(&fp, file, APR_READ | APR_BINARY,
62                       APR_OS_DEFAULT, pool);
63    if (rv != APR_SUCCESS) {
64        return rv;
65    }
66
67    rv = apr_file_info_get(&finfo, APR_FINFO_SIZE, fp);
68
69    if (rv != APR_SUCCESS) {
70        return rv;
71    }
72
73    data->data = apr_palloc(pool, finfo.size + 1);
74    rv = apr_file_read_full(fp, data->data, finfo.size, &br);
75
76    if (rv != APR_SUCCESS) {
77        return rv;
78    }
79    apr_file_close(fp);
80
81    data->data[br] = '\0';
82    data->size = br;
83
84    return 0;
85}
86
87
88
89/**
90 * Clean up the various GnuTLS data structures allocated by
91 * mgs_load_files()
92 */
93static apr_status_t mgs_pool_free_credentials(void *arg)
94{
95    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) arg;
96
97    if (sc->certs)
98    {
99        gnutls_certificate_free_credentials(sc->certs);
100        sc->certs = NULL;
101    }
102
103    if (sc->anon_creds)
104    {
105        gnutls_anon_free_server_credentials(sc->anon_creds);
106        sc->anon_creds = NULL;
107    }
108
109#ifdef ENABLE_SRP
110    if (sc->srp_creds)
111    {
112        gnutls_srp_free_server_credentials(sc->srp_creds);
113        sc->srp_creds = NULL;
114    }
115#endif
116
117    if (sc->dh_params)
118    {
119        gnutls_dh_params_deinit(sc->dh_params);
120        sc->dh_params = NULL;
121    }
122
123    for (unsigned int i = 0; i < sc->certs_x509_chain_num; i++)
124    {
125        gnutls_pcert_deinit(&sc->certs_x509_chain[i]);
126        gnutls_x509_crt_deinit(sc->certs_x509_crt_chain[i]);
127    }
128
129    if (sc->privkey_x509)
130    {
131        gnutls_privkey_deinit(sc->privkey_x509);
132        sc->privkey_x509 = NULL;
133    }
134
135    if (sc->ca_list)
136    {
137        for (unsigned int i = 0; i < sc->ca_list_size; i++)
138        {
139            gnutls_x509_crt_deinit(sc->ca_list[i]);
140        }
141        gnutls_free(sc->ca_list);
142        sc->ca_list = NULL;
143    }
144
145    /* Deinit server priorities only if set from
146     * sc->priorities_str. Otherwise the server is using the default
147     * global priority cache, which must not be deinitialized here. */
148    if (sc->priorities_str && sc->priorities)
149    {
150        gnutls_priority_deinit(sc->priorities);
151        sc->priorities = NULL;
152    }
153
154    return APR_SUCCESS;
155}
156
157int mgs_load_files(apr_pool_t *pconf, apr_pool_t *ptemp, server_rec *s)
158{
159    apr_pool_t *spool;
160    const char *file;
161    gnutls_datum_t data;
162    int ret;
163    mgs_srvconf_rec *sc =
164        (mgs_srvconf_rec *) ap_get_module_config(s->module_config,
165                                                 &gnutls_module);
166
167    apr_pool_create(&spool, ptemp);
168
169    /* Cleanup function for the GnuTLS structures allocated below */
170    apr_pool_cleanup_register(pconf, sc, mgs_pool_free_credentials,
171                              apr_pool_cleanup_null);
172
173    if (sc->certs == NULL)
174    {
175        ret = gnutls_certificate_allocate_credentials(&sc->certs);
176        if (ret < 0) {
177            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
178                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
179                         gnutls_strerror(ret));
180            ret = -1;
181            goto cleanup;
182        }
183    }
184
185    if (sc->anon_creds == NULL)
186    {
187        ret = gnutls_anon_allocate_server_credentials(&sc->anon_creds);
188        if (ret < 0) {
189            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
190                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
191                         gnutls_strerror(ret));
192            ret = -1;
193            goto cleanup;
194        }
195    }
196
197    /* Load SRP parameters */
198#ifdef ENABLE_SRP
199    if (sc->srp_creds == NULL)
200    {
201        ret = gnutls_srp_allocate_server_credentials(&sc->srp_creds);
202        if (ret < 0) {
203            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
204                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
205                         gnutls_strerror(ret));
206            ret = -1;
207            goto cleanup;
208        }
209    }
210
211    if (sc->srp_tpasswd_conf_file != NULL && sc->srp_tpasswd_file != NULL)
212    {
213        ret = gnutls_srp_set_server_credentials_file
214            (sc->srp_creds, sc->srp_tpasswd_file,
215             sc->srp_tpasswd_conf_file);
216
217        if (ret < 0 && sc->enabled == GNUTLS_ENABLED_TRUE) {
218            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
219                         "GnuTLS: Host '%s:%d' is missing a "
220                         "SRP password or conf File!",
221                         s->server_hostname, s->port);
222            ret = -1;
223            goto cleanup;
224        }
225    }
226#endif
227
228    /* Load user provided DH parameters, if any */
229    if (sc->dh_file)
230    {
231        if (sc->dh_params == NULL)
232        {
233            ret = gnutls_dh_params_init(&sc->dh_params);
234            if (ret < 0) {
235                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
236                             "GnuTLS: Failed to initialize"
237                             ": (%d) %s", ret, gnutls_strerror(ret));
238                ret = -1;
239                goto cleanup;
240            }
241        }
242
243        if (load_datum_from_file(spool, sc->dh_file, &data) != 0) {
244            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
245                         "GnuTLS: Error Reading " "DH params '%s'", sc->dh_file);
246            ret = -1;
247            goto cleanup;
248        }
249
250        ret =
251            gnutls_dh_params_import_pkcs3(sc->dh_params, &data,
252                                          GNUTLS_X509_FMT_PEM);
253        if (ret < 0) {
254            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
255                         "GnuTLS: Failed to Import "
256                         "DH params '%s': (%d) %s", sc->dh_file, ret,
257                         gnutls_strerror(ret));
258            ret = -1;
259            goto cleanup;
260        }
261    }
262
263    if (sc->x509_cert_file != NULL && sc->certs_x509_crt_chain == NULL)
264    {
265        sc->certs_x509_chain =
266            apr_pcalloc(pconf,
267                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_chain[0]));
268        sc->certs_x509_crt_chain =
269            apr_pcalloc(pconf,
270                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_crt_chain[0]));
271        unsigned int chain_num = MAX_CHAIN_SIZE;
272        unsigned format = GNUTLS_X509_FMT_PEM;
273
274        /* Load X.509 certificate */
275        if (strncmp(sc->x509_cert_file, "pkcs11:", 7) == 0) {
276            gnutls_pkcs11_obj_t obj;
277
278            file = sc->x509_cert_file;
279
280            ret = gnutls_pkcs11_obj_init(&obj);
281            if (ret < 0) {
282                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
283                             "GnuTLS: Error Initializing PKCS #11 object");
284                ret = -1;
285                goto cleanup;
286            }
287
288            gnutls_pkcs11_obj_set_pin_function(obj, pin_callback, sc);
289
290            ret = gnutls_pkcs11_obj_import_url(obj, file,
291                                               GNUTLS_PKCS11_OBJ_FLAG_LOGIN);
292            if (ret < 0) {
293                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
294                             "GnuTLS: Error Importing PKCS #11 object: "
295                             "'%s': %s",
296                             file, gnutls_strerror(ret));
297                ret = -1;
298                goto cleanup;
299            }
300
301            format = GNUTLS_X509_FMT_DER;
302            ret = gnutls_pkcs11_obj_export2(obj, &data);
303            if (ret < 0) {
304                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
305                             "GnuTLS: Error Exporting a PKCS #11 object: "
306                             "'%s': %s",
307                             file, gnutls_strerror(ret));
308                ret = -1;
309                goto cleanup;
310            }
311
312            gnutls_pkcs11_obj_deinit(obj);
313        } else {
314            file = ap_server_root_relative(spool, sc->x509_cert_file);
315
316            ret = gnutls_load_file(file, &data);
317            if (ret < 0) {
318                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
319                             "GnuTLS: Error Reading Certificate '%s': %s",
320                             file, gnutls_strerror(ret));
321                ret = -1;
322                goto cleanup;
323            }
324        }
325
326        ret = gnutls_x509_crt_list_import(sc->certs_x509_crt_chain,
327                                          &chain_num, &data, format,
328                                          GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED);
329        gnutls_free(data.data);
330        sc->certs_x509_chain_num = chain_num;
331
332        if (ret < 0) {
333            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
334                         "GnuTLS: Failed to Import Certificate Chain "
335                         "'%s': (%d) %s",
336                         file, ret, gnutls_strerror(ret));
337            ret = -1;
338            goto cleanup;
339        }
340
341        for (unsigned int i = 0; i < chain_num; i++)
342        {
343            ret =
344                gnutls_pcert_import_x509(&sc->certs_x509_chain[i],
345                                         sc->certs_x509_crt_chain[i], 0);
346            if (ret < 0) {
347                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
348                             "GnuTLS: Failed to Import pCertificate "
349                             "'%s': (%d) %s",
350                             file, ret, gnutls_strerror(ret));
351                ret = -1;
352                goto cleanup;
353            }
354        }
355        sc->certs_x509_chain_num = chain_num;
356    }
357
358    if (sc->x509_key_file && sc->privkey_x509 == NULL)
359    {
360        ret = gnutls_privkey_init(&sc->privkey_x509);
361        if (ret < 0) {
362            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
363                         "GnuTLS: Failed to initialize: (%d) %s", ret,
364                         gnutls_strerror(ret));
365            ret = -1;
366            goto cleanup;
367        }
368
369        if (gnutls_url_is_supported(sc->x509_key_file) != 0) {
370            file = sc->x509_key_file;
371
372            gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback,
373                                            sc);
374
375            ret = gnutls_privkey_import_url(sc->privkey_x509, file, 0);
376
377            if (ret < 0) {
378                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
379                             "GnuTLS: Failed to Import Private Key URL "
380                             "'%s': (%d) %s",
381                             file, ret, gnutls_strerror(ret));
382                ret = -1;
383                goto cleanup;
384            }
385        } else {
386            file = ap_server_root_relative(spool, sc->x509_key_file);
387
388            if (load_datum_from_file(spool, file, &data) != 0) {
389                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
390                             "GnuTLS: Error Reading Private Key '%s'",
391                             file);
392                ret = -1;
393                goto cleanup;
394            }
395
396            ret =
397                gnutls_privkey_import_x509_raw(sc->privkey_x509, &data,
398                                               GNUTLS_X509_FMT_PEM, sc->pin,
399                                               0);
400
401            if (ret < 0) {
402                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
403                             "GnuTLS: Failed to Import Private Key "
404                             "'%s': (%d) %s",
405                             file, ret, gnutls_strerror(ret));
406                ret = -1;
407                goto cleanup;
408            }
409        }
410    }
411
412    /* Load the X.509 CA file */
413    if (sc->x509_ca_file)
414    {
415        if (load_datum_from_file(spool, sc->x509_ca_file, &data) != 0) {
416            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
417                         "GnuTLS: Error Reading " "Client CA File '%s'",
418                         sc->x509_ca_file);
419            ret = -1;
420            goto cleanup;
421        }
422
423        ret = gnutls_x509_crt_list_import2(&sc->ca_list, &sc->ca_list_size,
424                                           &data, GNUTLS_X509_FMT_PEM, 0);
425        if (ret < 0) {
426            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
427                         "GnuTLS: Failed to load "
428                         "Client CA File '%s': (%d) %s", sc->x509_ca_file,
429                         ret, gnutls_strerror(ret));
430            ret = -1;
431            goto cleanup;
432        }
433    }
434
435    if (sc->priorities_str && sc->priorities == NULL)
436    {
437        const char *err;
438        ret = gnutls_priority_init(&sc->priorities, sc->priorities_str, &err);
439
440        if (ret < 0) {
441            if (ret == GNUTLS_E_INVALID_REQUEST) {
442                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
443                             "GnuTLS: Syntax error parsing priorities string at: %s",
444                             err);
445            } else {
446                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
447                             "GnuTLS: error parsing priorities string");
448
449            }
450            ret = -1;
451            goto cleanup;
452        }
453    }
454
455    ret = 0;
456 cleanup:
457    apr_pool_destroy(spool);
458
459    return ret;
460}
461
462int mgs_pkcs11_reinit(server_rec * base_server)
463{
464    int ret;
465    server_rec *s;
466    mgs_srvconf_rec *sc;
467
468    gnutls_pkcs11_reinit();
469
470    for (s = base_server; s; s = s->next) {
471        sc = (mgs_srvconf_rec *) ap_get_module_config(s->module_config, &gnutls_module);
472
473            /* gnutls caches the session in a private key, so we need to open
474             * a new one */
475            if (sc->x509_key_file && gnutls_url_is_supported(sc->x509_key_file) != 0) {
476                gnutls_privkey_deinit(sc->privkey_x509);
477
478                ret = gnutls_privkey_init(&sc->privkey_x509);
479                if (ret < 0) {
480                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
481                                 "GnuTLS: Failed to initialize: (%d) %s", ret,
482                                 gnutls_strerror(ret));
483                    goto fail;
484                }
485
486                gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback, sc);
487
488                ret = gnutls_privkey_import_url(sc->privkey_x509, sc->x509_key_file, 0);
489                if (ret < 0) {
490                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
491                             "GnuTLS: Failed to Re-Import Private Key URL '%s': (%d) %s",
492                             sc->x509_key_file, ret, gnutls_strerror(ret));
493                    goto fail;
494                }
495            }
496    }
497
498    return 0;
499
500 fail:
501    gnutls_privkey_deinit(sc->privkey_x509);
502    return -1;
503}
504
505const char *mgs_set_dh_file(cmd_parms * parms, void *dummy __attribute__((unused)),
506        const char *arg) {
507    mgs_srvconf_rec *sc =
508        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
509                                                 module_config,
510                                                 &gnutls_module);
511
512    sc->dh_file = ap_server_root_relative(parms->pool, arg);
513
514    return NULL;
515}
516
517const char *mgs_set_cert_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
518
519    mgs_srvconf_rec *sc =
520        (mgs_srvconf_rec *) ap_get_module_config(parms->
521                                                 server->module_config,
522                                                 &gnutls_module);
523
524    sc->x509_cert_file = apr_pstrdup(parms->pool, arg);
525
526    return NULL;
527
528}
529
530const char *mgs_set_key_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
531
532    mgs_srvconf_rec *sc =
533        (mgs_srvconf_rec *) ap_get_module_config(parms->
534                                                 server->module_config,
535                                                 &gnutls_module);
536
537    sc->x509_key_file = apr_pstrdup(parms->pool, arg);
538
539    return NULL;
540}
541
542const char *mgs_set_tickets(cmd_parms *parms,
543                            void *dummy __attribute__((unused)),
544                            const int arg)
545{
546    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
547        ap_get_module_config(parms->server->module_config, &gnutls_module);
548
549    if (arg)
550        sc->tickets = GNUTLS_ENABLED_TRUE;
551    else
552        sc->tickets = GNUTLS_ENABLED_FALSE;
553
554    return NULL;
555}
556
557
558#ifdef ENABLE_SRP
559
560const char *mgs_set_srp_tpasswd_file(cmd_parms * parms, void *dummy __attribute__((unused)),
561        const char *arg) {
562    mgs_srvconf_rec *sc =
563        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
564                                                 module_config,
565                                                 &gnutls_module);
566
567    sc->srp_tpasswd_file = ap_server_root_relative(parms->pool, arg);
568
569    return NULL;
570}
571
572const char *mgs_set_srp_tpasswd_conf_file(cmd_parms * parms, void *dummy __attribute__((unused)),
573        const char *arg) {
574    mgs_srvconf_rec *sc =
575        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
576                                                 module_config,
577                                                 &gnutls_module);
578
579    sc->srp_tpasswd_conf_file = ap_server_root_relative(parms->pool, arg);
580
581    return NULL;
582}
583
584#endif
585
586const char *mgs_set_cache(cmd_parms * parms,
587                          void *dummy __attribute__((unused)),
588                          const char *type, const char *arg)
589{
590    const char *err;
591    mgs_srvconf_rec *sc =
592        ap_get_module_config(parms->server->module_config,
593                             &gnutls_module);
594    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY)))
595        return err;
596
597    unsigned char enable = GNUTLS_ENABLED_TRUE;
598    /* none: disable cache */
599    if (strcasecmp("none", type) == 0)
600        enable = GNUTLS_ENABLED_FALSE;
601
602    /* Try to split socache "type:config" style configuration */
603    const char* sep = ap_strchr_c(type, ':');
604    if (sep)
605    {
606        type = apr_pstrmemdup(parms->temp_pool, type, sep - type);
607        if (arg != NULL)
608        {
609            /* No mixing of socache style and legacy config! */
610            return "GnuTLSCache appears to have a mod_socache style "
611                "type:config value, but there is a second parameter!";
612        }
613        arg = ++sep;
614    }
615
616    mgs_cache_t *cache = NULL;
617    /* parms->directive->directive contains the directive string */
618    if (!strcasecmp(parms->directive->directive, "GnuTLSCache"))
619    {
620        if (enable == GNUTLS_ENABLED_FALSE)
621        {
622            sc->cache_enable = GNUTLS_ENABLED_FALSE;
623            return NULL;
624        }
625        sc->cache_enable = GNUTLS_ENABLED_TRUE;
626        cache = &sc->cache;
627    }
628    else if (!strcasecmp(parms->directive->directive, "GnuTLSOCSPCache"))
629    {
630        if (enable == GNUTLS_ENABLED_FALSE)
631            return "\"GnuTLSOCSPCache none\" is invalid, use "
632                "\"GnuTLSOCSPStapling off\" if you want to disable "
633                "OCSP stapling.";
634        cache = &sc->ocsp_cache;
635    }
636    else
637        return apr_psprintf(parms->temp_pool, "Internal Error: %s "
638                            "called for unknown directive %s",
639                            __func__, parms->directive->directive);
640
641    return mgs_cache_inst_config(cache, parms->server,
642                                 type, arg,
643                                 parms->pool, parms->temp_pool);
644}
645
646const char *mgs_set_timeout(cmd_parms * parms,
647                            void *dummy __attribute__((unused)),
648                            const char *arg)
649{
650    apr_int64_t argint = apr_atoi64(arg);
651    /* timeouts cannot be negative */
652    if (argint < 0)
653        return apr_psprintf(parms->pool, "%s: Invalid argument",
654                            parms->directive->directive);
655
656    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
657        ap_get_module_config(parms->server->module_config, &gnutls_module);
658
659    if (!apr_strnatcasecmp(parms->directive->directive, "GnuTLSCacheTimeout"))
660        sc->cache_timeout = apr_time_from_sec(argint);
661    else if (!apr_strnatcasecmp(parms->directive->directive,
662                                "GnuTLSOCSPCacheTimeout"))
663        sc->ocsp_cache_time = apr_time_from_sec(argint);
664    else if (!apr_strnatcasecmp(parms->directive->directive,
665                                "GnuTLSOCSPFailureTimeout"))
666        sc->ocsp_failure_timeout = apr_time_from_sec(argint);
667    else if (!apr_strnatcasecmp(parms->directive->directive,
668                                "GnuTLSOCSPFuzzTime"))
669        sc->ocsp_fuzz_time = apr_time_from_sec(argint);
670    else if (!apr_strnatcasecmp(parms->directive->directive,
671                                "GnuTLSOCSPSocketTimeout"))
672        sc->ocsp_socket_timeout = apr_time_from_sec(argint);
673    else
674        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
675        return apr_psprintf(parms->pool,
676                            "mod_gnutls: %s called for invalid option '%s'",
677                            __func__, parms->directive->directive);
678
679    return NULL;
680}
681
682const char *mgs_set_client_verify_method(cmd_parms * parms, void *dummy __attribute__((unused)),
683        const char *arg) {
684    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)ap_get_module_config(parms->server->module_config, &gnutls_module);
685
686    if (strcasecmp("cartel", arg) == 0) {
687        sc->client_verify_method = mgs_cvm_cartel;
688    } else if (strcasecmp("msva", arg) == 0) {
689#ifdef ENABLE_MSVA
690        sc->client_verify_method = mgs_cvm_msva;
691#else
692        return "GnuTLSClientVerifyMethod: msva is not supported";
693#endif
694    } else {
695        return "GnuTLSClientVerifyMethod: Invalid argument";
696    }
697
698    return NULL;
699}
700
701const char *mgs_set_client_verify(cmd_parms * parms,
702                                  void *dirconf,
703                                  const char *arg) {
704    int mode;
705
706    if (strcasecmp("none", arg) == 0 || strcasecmp("ignore", arg) == 0) {
707        mode = GNUTLS_CERT_IGNORE;
708    } else if (strcasecmp("optional", arg) == 0
709               || strcasecmp("request", arg) == 0) {
710        mode = GNUTLS_CERT_REQUEST;
711    } else if (strcasecmp("require", arg) == 0) {
712        mode = GNUTLS_CERT_REQUIRE;
713    } else {
714        return "GnuTLSClientVerify: Invalid argument";
715    }
716
717    /* This was set from a directory context */
718    if (parms->path) {
719        mgs_dirconf_rec *dc = (mgs_dirconf_rec *) dirconf;
720        dc->client_verify_mode = mode;
721    } else {
722        mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
723            ap_get_module_config(parms->server->module_config,
724                                 &gnutls_module);
725        sc->client_verify_mode = mode;
726    }
727
728    return NULL;
729}
730
731const char *mgs_set_client_ca_file(cmd_parms * parms, void *dummy __attribute__((unused)),
732        const char *arg) {
733    mgs_srvconf_rec *sc =
734        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
735                                                 module_config,
736                                                 &gnutls_module);
737
738    sc->x509_ca_file = ap_server_root_relative(parms->pool, arg);
739
740    return NULL;
741}
742
743/*
744 * Enable TLS proxy operation if arg is true, disable it otherwise.
745 */
746const char *mgs_set_proxy_engine(cmd_parms *parms,
747                                 void *dummy __attribute__((unused)),
748                                 const int arg)
749{
750    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
751        ap_get_module_config(parms->server->module_config, &gnutls_module);
752
753    if (arg)
754        sc->proxy_enabled = GNUTLS_ENABLED_TRUE;
755    else
756        sc->proxy_enabled = GNUTLS_ENABLED_FALSE;
757
758    return NULL;
759}
760
761/*
762 * Enable TLS for the server/vhost if arg is true, disable it
763 * otherwise.
764 */
765const char *mgs_set_enabled(cmd_parms *parms,
766                            void *dummy __attribute__((unused)),
767                            const int arg)
768{
769    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
770        ap_get_module_config(parms->server->module_config, &gnutls_module);
771
772    if (arg)
773        sc->enabled = GNUTLS_ENABLED_TRUE;
774    else
775        sc->enabled = GNUTLS_ENABLED_FALSE;
776
777    return NULL;
778}
779
780const char *mgs_set_export_certificates_size(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
781    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) ap_get_module_config(parms->server->module_config, &gnutls_module);
782    if (!strcasecmp(arg, "On")) {
783        sc->export_certificates_size = 16 * 1024;
784    } else if (!strcasecmp(arg, "Off")) {
785        sc->export_certificates_size = 0;
786    } else {
787        char *endptr;
788        sc->export_certificates_size = strtol(arg, &endptr, 10);
789        while (apr_isspace(*endptr))
790            endptr++;
791        if (*endptr == '\0' || *endptr == 'b' || *endptr == 'B') {
792            ;
793        } else if (*endptr == 'k' || *endptr == 'K') {
794            sc->export_certificates_size *= 1024;
795        } else {
796            return
797                "GnuTLSExportCertificates must be set to a size (in bytes) or 'On' or 'Off'";
798        }
799    }
800
801    return NULL;
802}
803
804
805
806/*
807 * Store GnuTLS priority strings. Used for GnuTLSPriorities and
808 * GnuTLSProxyPriorities.
809 */
810const char *mgs_set_priorities(cmd_parms * parms,
811                               void *dummy __attribute__((unused)),
812                               const char *arg)
813{
814    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
815        ap_get_module_config(parms->server->module_config, &gnutls_module);
816
817    if (!strcasecmp(parms->directive->directive, "GnuTLSPriorities"))
818        sc->priorities_str = apr_pstrdup(parms->pool, arg);
819    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyPriorities"))
820        sc->proxy_priorities_str = apr_pstrdup(parms->pool, arg);
821    else
822        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
823        return apr_psprintf(parms->pool,
824                            "mod_gnutls: %s called for invalid option '%s'",
825                            __func__, parms->directive->directive);
826
827    return NULL;
828}
829
830
831
832const char *mgs_set_pin(cmd_parms * parms, void *dummy __attribute__((unused)),
833                        const char *arg)
834{
835
836    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
837        ap_get_module_config(parms->server->module_config, &gnutls_module);
838
839    sc->pin = apr_pstrdup(parms->pool, arg);
840
841    return NULL;
842}
843
844const char *mgs_set_srk_pin(cmd_parms * parms,
845                            void *dummy __attribute__((unused)),
846                            const char *arg)
847{
848
849    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
850        ap_get_module_config(parms->server->module_config, &gnutls_module);
851
852    sc->srk_pin = apr_pstrdup(parms->pool, arg);
853
854    return NULL;
855}
856
857
858
859static mgs_srvconf_rec *_mgs_config_server_create(apr_pool_t * p,
860                                                  char **err __attribute__((unused)))
861{
862    mgs_srvconf_rec *sc = apr_pcalloc(p, sizeof(*sc));
863
864    sc->enabled = GNUTLS_ENABLED_UNSET;
865
866    sc->privkey_x509 = NULL;
867    sc->anon_creds = NULL;
868#ifdef ENABLE_SRP
869    sc->srp_creds = NULL;
870#endif
871    sc->certs = NULL;
872    sc->certs_x509_chain = NULL;
873    sc->certs_x509_crt_chain = NULL;
874    sc->certs_x509_chain_num = 0;
875    sc->p11_modules = NULL;
876    sc->pin = NULL;
877
878    sc->priorities_str = NULL;
879    sc->cache_timeout = MGS_TIMEOUT_UNSET;
880    sc->cache_enable = GNUTLS_ENABLED_UNSET;
881    sc->cache = NULL;
882    sc->tickets = GNUTLS_ENABLED_UNSET;
883    sc->priorities = NULL;
884    sc->dh_params = NULL;
885    sc->dh_file = NULL;
886    sc->ca_list = NULL;
887    sc->ca_list_size = 0;
888    sc->proxy_enabled = GNUTLS_ENABLED_UNSET;
889    sc->export_certificates_size = -1;
890    sc->client_verify_method = mgs_cvm_unset;
891
892    sc->proxy_x509_key_file = NULL;
893    sc->proxy_x509_cert_file = NULL;
894    sc->proxy_x509_ca_file = NULL;
895    sc->proxy_x509_crl_file = NULL;
896    sc->proxy_priorities_str = NULL;
897    sc->proxy_x509_creds = NULL;
898    sc->anon_client_creds = NULL;
899    sc->proxy_priorities = NULL;
900    sc->proxy_x509_tl = NULL;
901
902    sc->ocsp_staple = GNUTLS_ENABLED_UNSET;
903    sc->ocsp_auto_refresh = GNUTLS_ENABLED_UNSET;
904    sc->ocsp_check_nonce = GNUTLS_ENABLED_UNSET;
905    sc->ocsp_response_file = NULL;
906    sc->ocsp_mutex = NULL;
907    sc->ocsp_cache = NULL;
908    sc->ocsp_cache_time = MGS_TIMEOUT_UNSET;
909    sc->ocsp_failure_timeout = MGS_TIMEOUT_UNSET;
910    sc->ocsp_fuzz_time = MGS_TIMEOUT_UNSET;
911    sc->ocsp_socket_timeout = MGS_TIMEOUT_UNSET;
912
913    sc->singleton_wd = NULL;
914
915/* this relies on GnuTLS never changing the gnutls_certificate_request_t enum to define -1 */
916    sc->client_verify_mode = -1;
917
918    return sc;
919}
920
921void *mgs_config_server_create(apr_pool_t * p,
922                               server_rec * s __attribute__((unused))) {
923    char *err = NULL;
924    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
925    if (sc)
926        return sc;
927    else
928        return err;
929}
930
931#define gnutls_srvconf_merge(t, unset) sc->t = (add->t == unset) ? base->t : add->t
932#define gnutls_srvconf_assign(t) sc->t = add->t
933
934void *mgs_config_server_merge(apr_pool_t * p, void *BASE, void *ADD)
935{
936    char *err = NULL;
937    mgs_srvconf_rec *base = (mgs_srvconf_rec *) BASE;
938    mgs_srvconf_rec *add = (mgs_srvconf_rec *) ADD;
939    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
940    if (NULL == sc)
941        return err;
942
943    gnutls_srvconf_merge(enabled, GNUTLS_ENABLED_UNSET);
944    gnutls_srvconf_merge(tickets, GNUTLS_ENABLED_UNSET);
945    gnutls_srvconf_merge(proxy_enabled, GNUTLS_ENABLED_UNSET);
946    gnutls_srvconf_merge(export_certificates_size, -1);
947    gnutls_srvconf_merge(client_verify_method, mgs_cvm_unset);
948    gnutls_srvconf_merge(client_verify_mode, -1);
949    gnutls_srvconf_merge(srp_tpasswd_file, NULL);
950    gnutls_srvconf_merge(srp_tpasswd_conf_file, NULL);
951    gnutls_srvconf_merge(x509_cert_file, NULL);
952
953    gnutls_srvconf_merge(x509_key_file, NULL);
954    gnutls_srvconf_merge(x509_ca_file, NULL);
955    gnutls_srvconf_merge(p11_modules, NULL);
956    gnutls_srvconf_merge(pin, NULL);
957    gnutls_srvconf_merge(dh_file, NULL);
958    gnutls_srvconf_merge(priorities_str, NULL);
959    gnutls_srvconf_merge(cache_timeout, MGS_TIMEOUT_UNSET);
960
961    gnutls_srvconf_merge(proxy_x509_key_file, NULL);
962    gnutls_srvconf_merge(proxy_x509_cert_file, NULL);
963    gnutls_srvconf_merge(proxy_x509_ca_file, NULL);
964    gnutls_srvconf_merge(proxy_x509_crl_file, NULL);
965    gnutls_srvconf_merge(proxy_priorities_str, NULL);
966    gnutls_srvconf_merge(proxy_priorities, NULL);
967
968    gnutls_srvconf_merge(ocsp_staple, GNUTLS_ENABLED_UNSET);
969    gnutls_srvconf_merge(ocsp_auto_refresh, GNUTLS_ENABLED_UNSET);
970    gnutls_srvconf_merge(ocsp_check_nonce, GNUTLS_ENABLED_UNSET);
971    gnutls_srvconf_assign(ocsp_response_file);
972    gnutls_srvconf_merge(ocsp_cache_time, MGS_TIMEOUT_UNSET);
973    gnutls_srvconf_merge(ocsp_failure_timeout, MGS_TIMEOUT_UNSET);
974    gnutls_srvconf_merge(ocsp_fuzz_time, MGS_TIMEOUT_UNSET);
975    gnutls_srvconf_merge(ocsp_socket_timeout, MGS_TIMEOUT_UNSET);
976
977    gnutls_srvconf_assign(ca_list);
978    gnutls_srvconf_assign(ca_list_size);
979    gnutls_srvconf_assign(certs);
980    gnutls_srvconf_assign(anon_creds);
981    gnutls_srvconf_assign(srp_creds);
982    gnutls_srvconf_assign(certs_x509_chain);
983    gnutls_srvconf_assign(certs_x509_crt_chain);
984    gnutls_srvconf_assign(certs_x509_chain_num);
985
986    return sc;
987}
988
989#undef gnutls_srvconf_merge
990#undef gnutls_srvconf_assign
991
992void *mgs_config_dir_merge(apr_pool_t * p,
993                           void *basev __attribute__((unused)),
994                           void *addv __attribute__((unused))) {
995    mgs_dirconf_rec *new;
996    /*    mgs_dirconf_rec *base = (mgs_dirconf_rec *) basev; */
997    mgs_dirconf_rec *add = (mgs_dirconf_rec *) addv;
998
999    new = (mgs_dirconf_rec *) apr_pcalloc(p, sizeof(mgs_dirconf_rec));
1000    new->client_verify_mode = add->client_verify_mode;
1001    return new;
1002}
1003
1004void *mgs_config_dir_create(apr_pool_t * p,
1005                            char *dir __attribute__((unused))) {
1006    mgs_dirconf_rec *dc = apr_palloc(p, sizeof (*dc));
1007    dc->client_verify_mode = -1;
1008    return dc;
1009}
1010
1011
1012
1013/*
1014 * Store paths to proxy credentials
1015 *
1016 * This function copies the paths provided in the configuration file
1017 * into the server configuration. The post configuration hook takes
1018 * care of actually loading the credentials, which means than invalid
1019 * paths or the like will be detected there.
1020 */
1021const char *mgs_store_cred_path(cmd_parms * parms,
1022                                void *dummy __attribute__((unused)),
1023                                const char *arg)
1024{
1025    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1026        ap_get_module_config(parms->server->module_config, &gnutls_module);
1027
1028    /* parms->directive->directive contains the directive string */
1029    if (!strcasecmp(parms->directive->directive, "GnuTLSProxyKeyFile"))
1030        sc->proxy_x509_key_file = apr_pstrdup(parms->pool, arg);
1031    else if (!strcasecmp(parms->directive->directive,
1032                         "GnuTLSProxyCertificateFile"))
1033        sc->proxy_x509_cert_file = apr_pstrdup(parms->pool, arg);
1034    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCAFile"))
1035        sc->proxy_x509_ca_file = apr_pstrdup(parms->pool, arg);
1036    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCRLFile"))
1037        sc->proxy_x509_crl_file = apr_pstrdup(parms->pool, arg);
1038    return NULL;
1039}
1040
1041
1042
1043/*
1044 * Record PKCS #11 module to load. Note that the value is only used in
1045 * the base config, settings in virtual hosts are ignored.
1046 */
1047const char *mgs_set_p11_module(cmd_parms * parms,
1048                               void *dummy __attribute__((unused)),
1049                               const char *arg)
1050{
1051    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1052        ap_get_module_config(parms->server->module_config, &gnutls_module);
1053    /* initialize PKCS #11 module list if necessary */
1054    if (sc->p11_modules == NULL)
1055        sc->p11_modules = apr_array_make(parms->pool, 2, sizeof(char*));
1056
1057    *(char **) apr_array_push(sc->p11_modules) = apr_pstrdup(parms->pool, arg);
1058
1059    return NULL;
1060}
Note: See TracBrowser for help on using the repository browser.