source: mod_gnutls/src/gnutls_config.c @ 7921dc7

debian/masterproxy-ticket
Last change on this file since 7921dc7 was 7921dc7, checked in by Fiona Klute <fiona.klute@…>, 2 years ago

Remove OpenPGP authentication

OpenPGP authentication was removed from GnuTLS a while ago, follow suit.

  • Property mode set to 100644
File size: 32.3 KB
Line 
1/*
2 *  Copyright 2004-2005 Paul Querna
3 *  Copyright 2008, 2014 Nikos Mavrogiannopoulos
4 *  Copyright 2011 Dash Shendy
5 *  Copyright 2015-2018 Fiona Klute
6 *
7 *  Licensed under the Apache License, Version 2.0 (the "License");
8 *  you may not use this file except in compliance with the License.
9 *  You may obtain a copy of the License at
10 *
11 *      http://www.apache.org/licenses/LICENSE-2.0
12 *
13 *  Unless required by applicable law or agreed to in writing, software
14 *  distributed under the License is distributed on an "AS IS" BASIS,
15 *  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 *  See the License for the specific language governing permissions and
17 *  limitations under the License.
18 */
19
20#include "gnutls_config.h"
21#include "mod_gnutls.h"
22#include "gnutls_ocsp.h"
23#include "apr_lib.h"
24#include <gnutls/abstract.h>
25
26#define INIT_CA_SIZE 128
27
28#ifdef APLOG_USE_MODULE
29APLOG_USE_MODULE(gnutls);
30#endif
31
32static int pin_callback(void *user, int attempt __attribute__((unused)),
33                        const char *token_url __attribute__((unused)),
34                        const char *token_label, unsigned int flags,
35                        char *pin, size_t pin_max)
36{
37    mgs_srvconf_rec *sc = user;
38
39    if (sc->pin == NULL || flags & GNUTLS_PIN_FINAL_TRY ||
40        flags & GNUTLS_PIN_WRONG) {
41        return -1;
42    }
43
44    if (token_label && strcmp(token_label, "SRK") == 0) {
45         snprintf(pin, pin_max, "%s", sc->srk_pin);
46    } else {
47         snprintf(pin, pin_max, "%s", sc->pin);
48    }
49    return 0;
50}
51
52static int load_datum_from_file(apr_pool_t * pool,
53                                const char *file, gnutls_datum_t * data)
54{
55    apr_file_t *fp;
56    apr_finfo_t finfo;
57    apr_status_t rv;
58    apr_size_t br = 0;
59
60    rv = apr_file_open(&fp, file, APR_READ | APR_BINARY,
61                       APR_OS_DEFAULT, pool);
62    if (rv != APR_SUCCESS) {
63        return rv;
64    }
65
66    rv = apr_file_info_get(&finfo, APR_FINFO_SIZE, fp);
67
68    if (rv != APR_SUCCESS) {
69        return rv;
70    }
71
72    data->data = apr_palloc(pool, finfo.size + 1);
73    rv = apr_file_read_full(fp, data->data, finfo.size, &br);
74
75    if (rv != APR_SUCCESS) {
76        return rv;
77    }
78    apr_file_close(fp);
79
80    data->data[br] = '\0';
81    data->size = br;
82
83    return 0;
84}
85
86
87
88/**
89 * Clean up the various GnuTLS data structures allocated by
90 * mgs_load_files()
91 */
92static apr_status_t mgs_pool_free_credentials(void *arg)
93{
94    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) arg;
95
96    if (sc->certs)
97    {
98        gnutls_certificate_free_credentials(sc->certs);
99        sc->certs = NULL;
100    }
101
102    if (sc->anon_creds)
103    {
104        gnutls_anon_free_server_credentials(sc->anon_creds);
105        sc->anon_creds = NULL;
106    }
107
108#ifdef ENABLE_SRP
109    if (sc->srp_creds)
110    {
111        gnutls_srp_free_server_credentials(sc->srp_creds);
112        sc->srp_creds = NULL;
113    }
114#endif
115
116    if (sc->dh_params)
117    {
118        gnutls_dh_params_deinit(sc->dh_params);
119        sc->dh_params = NULL;
120    }
121
122    for (unsigned int i = 0; i < sc->certs_x509_chain_num; i++)
123    {
124        gnutls_pcert_deinit(&sc->certs_x509_chain[i]);
125        gnutls_x509_crt_deinit(sc->certs_x509_crt_chain[i]);
126    }
127
128    if (sc->privkey_x509)
129    {
130        gnutls_privkey_deinit(sc->privkey_x509);
131        sc->privkey_x509 = NULL;
132    }
133
134    if (sc->ca_list)
135    {
136        for (unsigned int i = 0; i < sc->ca_list_size; i++)
137        {
138            gnutls_x509_crt_deinit(sc->ca_list[i]);
139        }
140        gnutls_free(sc->ca_list);
141        sc->ca_list = NULL;
142    }
143
144    if (sc->priorities)
145    {
146        gnutls_priority_deinit(sc->priorities);
147        sc->priorities = NULL;
148    }
149
150    return APR_SUCCESS;
151}
152
153int mgs_load_files(apr_pool_t *pconf, apr_pool_t *ptemp, server_rec *s)
154{
155    apr_pool_t *spool;
156    const char *file;
157    gnutls_datum_t data;
158    int ret;
159    mgs_srvconf_rec *sc =
160        (mgs_srvconf_rec *) ap_get_module_config(s->module_config,
161                                                 &gnutls_module);
162
163    apr_pool_create(&spool, ptemp);
164
165    /* Cleanup function for the GnuTLS structures allocated below */
166    apr_pool_cleanup_register(pconf, sc, mgs_pool_free_credentials,
167                              apr_pool_cleanup_null);
168
169    if (sc->certs == NULL)
170    {
171        ret = gnutls_certificate_allocate_credentials(&sc->certs);
172        if (ret < 0) {
173            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
174                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
175                         gnutls_strerror(ret));
176            ret = -1;
177            goto cleanup;
178        }
179    }
180
181    if (sc->anon_creds == NULL)
182    {
183        ret = gnutls_anon_allocate_server_credentials(&sc->anon_creds);
184        if (ret < 0) {
185            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
186                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
187                         gnutls_strerror(ret));
188            ret = -1;
189            goto cleanup;
190        }
191    }
192
193    /* Load SRP parameters */
194#ifdef ENABLE_SRP
195    if (sc->srp_creds == NULL)
196    {
197        ret = gnutls_srp_allocate_server_credentials(&sc->srp_creds);
198        if (ret < 0) {
199            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
200                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
201                         gnutls_strerror(ret));
202            ret = -1;
203            goto cleanup;
204        }
205    }
206
207    if (sc->srp_tpasswd_conf_file != NULL && sc->srp_tpasswd_file != NULL)
208    {
209        ret = gnutls_srp_set_server_credentials_file
210            (sc->srp_creds, sc->srp_tpasswd_file,
211             sc->srp_tpasswd_conf_file);
212
213        if (ret < 0 && sc->enabled == GNUTLS_ENABLED_TRUE) {
214            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
215                         "GnuTLS: Host '%s:%d' is missing a "
216                         "SRP password or conf File!",
217                         s->server_hostname, s->port);
218            ret = -1;
219            goto cleanup;
220        }
221    }
222#endif
223
224    /* Load user provided DH parameters, if any */
225    if (sc->dh_file)
226    {
227        if (sc->dh_params == NULL)
228        {
229            ret = gnutls_dh_params_init(&sc->dh_params);
230            if (ret < 0) {
231                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
232                             "GnuTLS: Failed to initialize"
233                             ": (%d) %s", ret, gnutls_strerror(ret));
234                ret = -1;
235                goto cleanup;
236            }
237        }
238
239        if (load_datum_from_file(spool, sc->dh_file, &data) != 0) {
240            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
241                         "GnuTLS: Error Reading " "DH params '%s'", sc->dh_file);
242            ret = -1;
243            goto cleanup;
244        }
245
246        ret =
247            gnutls_dh_params_import_pkcs3(sc->dh_params, &data,
248                                          GNUTLS_X509_FMT_PEM);
249        if (ret < 0) {
250            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
251                         "GnuTLS: Failed to Import "
252                         "DH params '%s': (%d) %s", sc->dh_file, ret,
253                         gnutls_strerror(ret));
254            ret = -1;
255            goto cleanup;
256        }
257    }
258
259    if (sc->x509_cert_file != NULL && sc->certs_x509_crt_chain == NULL)
260    {
261        sc->certs_x509_chain =
262            apr_pcalloc(pconf,
263                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_chain[0]));
264        sc->certs_x509_crt_chain =
265            apr_pcalloc(pconf,
266                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_crt_chain[0]));
267        unsigned int chain_num = MAX_CHAIN_SIZE;
268        unsigned format = GNUTLS_X509_FMT_PEM;
269
270        /* Load X.509 certificate */
271        if (strncmp(sc->x509_cert_file, "pkcs11:", 7) == 0) {
272            gnutls_pkcs11_obj_t obj;
273
274            file = sc->x509_cert_file;
275
276            ret = gnutls_pkcs11_obj_init(&obj);
277            if (ret < 0) {
278                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
279                             "GnuTLS: Error Initializing PKCS #11 object");
280                ret = -1;
281                goto cleanup;
282            }
283
284            gnutls_pkcs11_obj_set_pin_function(obj, pin_callback, sc);
285
286            ret = gnutls_pkcs11_obj_import_url(obj, file,
287                                               GNUTLS_PKCS11_OBJ_FLAG_LOGIN);
288            if (ret < 0) {
289                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
290                             "GnuTLS: Error Importing PKCS #11 object: "
291                             "'%s': %s",
292                             file, gnutls_strerror(ret));
293                ret = -1;
294                goto cleanup;
295            }
296
297            format = GNUTLS_X509_FMT_DER;
298            ret = gnutls_pkcs11_obj_export2(obj, &data);
299            if (ret < 0) {
300                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
301                             "GnuTLS: Error Exporting a PKCS #11 object: "
302                             "'%s': %s",
303                             file, gnutls_strerror(ret));
304                ret = -1;
305                goto cleanup;
306            }
307
308            gnutls_pkcs11_obj_deinit(obj);
309        } else {
310            file = ap_server_root_relative(spool, sc->x509_cert_file);
311
312            ret = gnutls_load_file(file, &data);
313            if (ret < 0) {
314                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
315                             "GnuTLS: Error Reading Certificate '%s': %s",
316                             file, gnutls_strerror(ret));
317                ret = -1;
318                goto cleanup;
319            }
320        }
321
322        ret = gnutls_x509_crt_list_import(sc->certs_x509_crt_chain,
323                                          &chain_num, &data, format,
324                                          GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED);
325        gnutls_free(data.data);
326        sc->certs_x509_chain_num = chain_num;
327
328        if (ret < 0) {
329            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
330                         "GnuTLS: Failed to Import Certificate Chain "
331                         "'%s': (%d) %s",
332                         file, ret, gnutls_strerror(ret));
333            ret = -1;
334            goto cleanup;
335        }
336
337        for (unsigned int i = 0; i < chain_num; i++)
338        {
339            ret =
340                gnutls_pcert_import_x509(&sc->certs_x509_chain[i],
341                                         sc->certs_x509_crt_chain[i], 0);
342            if (ret < 0) {
343                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
344                             "GnuTLS: Failed to Import pCertificate "
345                             "'%s': (%d) %s",
346                             file, ret, gnutls_strerror(ret));
347                ret = -1;
348                goto cleanup;
349            }
350        }
351        sc->certs_x509_chain_num = chain_num;
352    }
353
354    if (sc->x509_key_file && sc->privkey_x509 == NULL)
355    {
356        ret = gnutls_privkey_init(&sc->privkey_x509);
357        if (ret < 0) {
358            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
359                         "GnuTLS: Failed to initialize: (%d) %s", ret,
360                         gnutls_strerror(ret));
361            ret = -1;
362            goto cleanup;
363        }
364
365        if (gnutls_url_is_supported(sc->x509_key_file) != 0) {
366            file = sc->x509_key_file;
367
368            gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback,
369                                            sc);
370
371            ret = gnutls_privkey_import_url(sc->privkey_x509, file, 0);
372
373            if (ret < 0) {
374                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
375                             "GnuTLS: Failed to Import Private Key URL "
376                             "'%s': (%d) %s",
377                             file, ret, gnutls_strerror(ret));
378                ret = -1;
379                goto cleanup;
380            }
381        } else {
382            file = ap_server_root_relative(spool, sc->x509_key_file);
383
384            if (load_datum_from_file(spool, file, &data) != 0) {
385                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
386                             "GnuTLS: Error Reading Private Key '%s'",
387                             file);
388                ret = -1;
389                goto cleanup;
390            }
391
392            ret =
393                gnutls_privkey_import_x509_raw(sc->privkey_x509, &data,
394                                               GNUTLS_X509_FMT_PEM, sc->pin,
395                                               0);
396
397            if (ret < 0) {
398                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
399                             "GnuTLS: Failed to Import Private Key "
400                             "'%s': (%d) %s",
401                             file, ret, gnutls_strerror(ret));
402                ret = -1;
403                goto cleanup;
404            }
405        }
406    }
407
408    /* Load the X.509 CA file */
409    if (sc->x509_ca_file)
410    {
411        if (load_datum_from_file(spool, sc->x509_ca_file, &data) != 0) {
412            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
413                         "GnuTLS: Error Reading " "Client CA File '%s'",
414                         sc->x509_ca_file);
415            ret = -1;
416            goto cleanup;
417        }
418
419        ret = gnutls_x509_crt_list_import2(&sc->ca_list, &sc->ca_list_size,
420                                           &data, GNUTLS_X509_FMT_PEM, 0);
421        if (ret < 0) {
422            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
423                         "GnuTLS: Failed to load "
424                         "Client CA File '%s': (%d) %s", sc->x509_ca_file,
425                         ret, gnutls_strerror(ret));
426            ret = -1;
427            goto cleanup;
428        }
429    }
430
431    if (sc->priorities_str && sc->priorities == NULL)
432    {
433        const char *err;
434        ret = gnutls_priority_init(&sc->priorities, sc->priorities_str, &err);
435
436        if (ret < 0) {
437            if (ret == GNUTLS_E_INVALID_REQUEST) {
438                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
439                             "GnuTLS: Syntax error parsing priorities string at: %s",
440                             err);
441            } else {
442                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
443                             "GnuTLS: error parsing priorities string");
444
445            }
446            ret = -1;
447            goto cleanup;
448        }
449    }
450
451    ret = 0;
452 cleanup:
453    apr_pool_destroy(spool);
454
455    return ret;
456}
457
458int mgs_pkcs11_reinit(server_rec * base_server)
459{
460    int ret;
461    server_rec *s;
462    mgs_srvconf_rec *sc;
463
464    gnutls_pkcs11_reinit();
465
466    for (s = base_server; s; s = s->next) {
467        sc = (mgs_srvconf_rec *) ap_get_module_config(s->module_config, &gnutls_module);
468
469            /* gnutls caches the session in a private key, so we need to open
470             * a new one */
471            if (sc->x509_key_file && gnutls_url_is_supported(sc->x509_key_file) != 0) {
472                gnutls_privkey_deinit(sc->privkey_x509);
473
474                ret = gnutls_privkey_init(&sc->privkey_x509);
475                if (ret < 0) {
476                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
477                                 "GnuTLS: Failed to initialize: (%d) %s", ret,
478                                 gnutls_strerror(ret));
479                    goto fail;
480                }
481
482                gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback, sc);
483
484                ret = gnutls_privkey_import_url(sc->privkey_x509, sc->x509_key_file, 0);
485                if (ret < 0) {
486                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
487                             "GnuTLS: Failed to Re-Import Private Key URL '%s': (%d) %s",
488                             sc->x509_key_file, ret, gnutls_strerror(ret));
489                    goto fail;
490                }
491            }
492    }
493
494    return 0;
495
496 fail:
497    gnutls_privkey_deinit(sc->privkey_x509);
498    return -1;
499}
500
501const char *mgs_set_dh_file(cmd_parms * parms, void *dummy __attribute__((unused)),
502        const char *arg) {
503    mgs_srvconf_rec *sc =
504        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
505                                                 module_config,
506                                                 &gnutls_module);
507
508    sc->dh_file = ap_server_root_relative(parms->pool, arg);
509
510    return NULL;
511}
512
513const char *mgs_set_cert_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
514
515    mgs_srvconf_rec *sc =
516        (mgs_srvconf_rec *) ap_get_module_config(parms->
517                                                 server->module_config,
518                                                 &gnutls_module);
519
520    sc->x509_cert_file = apr_pstrdup(parms->pool, arg);
521
522    return NULL;
523
524}
525
526const char *mgs_set_key_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
527
528    mgs_srvconf_rec *sc =
529        (mgs_srvconf_rec *) ap_get_module_config(parms->
530                                                 server->module_config,
531                                                 &gnutls_module);
532
533    sc->x509_key_file = apr_pstrdup(parms->pool, arg);
534
535    return NULL;
536}
537
538const char *mgs_set_tickets(cmd_parms *parms,
539                            void *dummy __attribute__((unused)),
540                            const int arg)
541{
542    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
543        ap_get_module_config(parms->server->module_config, &gnutls_module);
544
545    if (arg)
546        sc->tickets = GNUTLS_ENABLED_TRUE;
547    else
548        sc->tickets = GNUTLS_ENABLED_FALSE;
549
550    return NULL;
551}
552
553
554#ifdef ENABLE_SRP
555
556const char *mgs_set_srp_tpasswd_file(cmd_parms * parms, void *dummy __attribute__((unused)),
557        const char *arg) {
558    mgs_srvconf_rec *sc =
559        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
560                                                 module_config,
561                                                 &gnutls_module);
562
563    sc->srp_tpasswd_file = ap_server_root_relative(parms->pool, arg);
564
565    return NULL;
566}
567
568const char *mgs_set_srp_tpasswd_conf_file(cmd_parms * parms, void *dummy __attribute__((unused)),
569        const char *arg) {
570    mgs_srvconf_rec *sc =
571        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
572                                                 module_config,
573                                                 &gnutls_module);
574
575    sc->srp_tpasswd_conf_file = ap_server_root_relative(parms->pool, arg);
576
577    return NULL;
578}
579
580#endif
581
582const char *mgs_set_cache(cmd_parms * parms, void *dummy __attribute__((unused)),
583        const char *type, const char *arg) {
584    const char *err;
585    mgs_srvconf_rec *sc =
586        ap_get_module_config(parms->server->module_config,
587                             &gnutls_module);
588    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY))) {
589        return err;
590    }
591
592    if (strcasecmp("none", type) == 0) {
593        sc->cache_type = mgs_cache_none;
594        sc->cache_config = NULL;
595        return NULL;
596    } else if (strcasecmp("dbm", type) == 0) {
597        sc->cache_type = mgs_cache_dbm;
598    } else if (strcasecmp("gdbm", type) == 0) {
599        sc->cache_type = mgs_cache_gdbm;
600    }
601#if HAVE_APR_MEMCACHE
602    else if (strcasecmp("memcache", type) == 0) {
603        sc->cache_type = mgs_cache_memcache;
604    }
605#endif
606    else {
607        return "Invalid Type for GnuTLSCache!";
608    }
609
610    if (arg == NULL)
611        return "Invalid argument 2 for GnuTLSCache!";
612
613    if (sc->cache_type == mgs_cache_dbm
614        || sc->cache_type == mgs_cache_gdbm) {
615        sc->cache_config = ap_server_root_relative(parms->pool, arg);
616    } else {
617        sc->cache_config = apr_pstrdup(parms->pool, arg);
618    }
619
620    return NULL;
621}
622
623const char *mgs_set_timeout(cmd_parms * parms,
624                            void *dummy __attribute__((unused)),
625                            const char *arg)
626{
627    apr_int64_t argint = apr_atoi64(arg);
628    /* timeouts cannot be negative */
629    if (argint < 0)
630        return apr_psprintf(parms->pool, "%s: Invalid argument",
631                            parms->directive->directive);
632
633    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
634        ap_get_module_config(parms->server->module_config, &gnutls_module);
635
636    if (!apr_strnatcasecmp(parms->directive->directive, "GnuTLSCacheTimeout"))
637    {
638        const char *err;
639        if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY)))
640            return err;
641        sc->cache_timeout = apr_time_from_sec(argint);
642    }
643    else if (!apr_strnatcasecmp(parms->directive->directive,
644                                "GnuTLSOCSPCacheTimeout"))
645        sc->ocsp_cache_time = apr_time_from_sec(argint);
646    else if (!apr_strnatcasecmp(parms->directive->directive,
647                                "GnuTLSOCSPFailureTimeout"))
648        sc->ocsp_failure_timeout = apr_time_from_sec(argint);
649    else if (!apr_strnatcasecmp(parms->directive->directive,
650                                "GnuTLSOCSPFuzzTime"))
651        sc->ocsp_fuzz_time = apr_time_from_sec(argint);
652    else if (!apr_strnatcasecmp(parms->directive->directive,
653                                "GnuTLSOCSPSocketTimeout"))
654        sc->ocsp_socket_timeout = apr_time_from_sec(argint);
655    else
656        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
657        return apr_psprintf(parms->pool,
658                            "mod_gnutls: %s called for invalid option '%s'",
659                            __func__, parms->directive->directive);
660
661    return NULL;
662}
663
664const char *mgs_set_client_verify_method(cmd_parms * parms, void *dummy __attribute__((unused)),
665        const char *arg) {
666    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)ap_get_module_config(parms->server->module_config, &gnutls_module);
667
668    if (strcasecmp("cartel", arg) == 0) {
669        sc->client_verify_method = mgs_cvm_cartel;
670    } else if (strcasecmp("msva", arg) == 0) {
671#ifdef ENABLE_MSVA
672        sc->client_verify_method = mgs_cvm_msva;
673#else
674        return "GnuTLSClientVerifyMethod: msva is not supported";
675#endif
676    } else {
677        return "GnuTLSClientVerifyMethod: Invalid argument";
678    }
679
680    return NULL;
681}
682
683const char *mgs_set_client_verify(cmd_parms * parms,
684                                  void *dirconf,
685                                  const char *arg) {
686    int mode;
687
688    if (strcasecmp("none", arg) == 0 || strcasecmp("ignore", arg) == 0) {
689        mode = GNUTLS_CERT_IGNORE;
690    } else if (strcasecmp("optional", arg) == 0
691               || strcasecmp("request", arg) == 0) {
692        mode = GNUTLS_CERT_REQUEST;
693    } else if (strcasecmp("require", arg) == 0) {
694        mode = GNUTLS_CERT_REQUIRE;
695    } else {
696        return "GnuTLSClientVerify: Invalid argument";
697    }
698
699    /* This was set from a directory context */
700    if (parms->path) {
701        mgs_dirconf_rec *dc = (mgs_dirconf_rec *) dirconf;
702        dc->client_verify_mode = mode;
703    } else {
704        mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
705            ap_get_module_config(parms->server->module_config,
706                                 &gnutls_module);
707        sc->client_verify_mode = mode;
708    }
709
710    return NULL;
711}
712
713const char *mgs_set_client_ca_file(cmd_parms * parms, void *dummy __attribute__((unused)),
714        const char *arg) {
715    mgs_srvconf_rec *sc =
716        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
717                                                 module_config,
718                                                 &gnutls_module);
719
720    sc->x509_ca_file = ap_server_root_relative(parms->pool, arg);
721
722    return NULL;
723}
724
725/*
726 * Enable TLS proxy operation if arg is true, disable it otherwise.
727 */
728const char *mgs_set_proxy_engine(cmd_parms *parms,
729                                 void *dummy __attribute__((unused)),
730                                 const int arg)
731{
732    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
733        ap_get_module_config(parms->server->module_config, &gnutls_module);
734
735    if (arg)
736        sc->proxy_enabled = GNUTLS_ENABLED_TRUE;
737    else
738        sc->proxy_enabled = GNUTLS_ENABLED_FALSE;
739
740    return NULL;
741}
742
743/*
744 * Enable TLS for the server/vhost if arg is true, disable it
745 * otherwise.
746 */
747const char *mgs_set_enabled(cmd_parms *parms,
748                            void *dummy __attribute__((unused)),
749                            const int arg)
750{
751    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
752        ap_get_module_config(parms->server->module_config, &gnutls_module);
753
754    if (arg)
755        sc->enabled = GNUTLS_ENABLED_TRUE;
756    else
757        sc->enabled = GNUTLS_ENABLED_FALSE;
758
759    return NULL;
760}
761
762const char *mgs_set_export_certificates_size(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
763    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) ap_get_module_config(parms->server->module_config, &gnutls_module);
764    if (!strcasecmp(arg, "On")) {
765        sc->export_certificates_size = 16 * 1024;
766    } else if (!strcasecmp(arg, "Off")) {
767        sc->export_certificates_size = 0;
768    } else {
769        char *endptr;
770        sc->export_certificates_size = strtol(arg, &endptr, 10);
771        while (apr_isspace(*endptr))
772            endptr++;
773        if (*endptr == '\0' || *endptr == 'b' || *endptr == 'B') {
774            ;
775        } else if (*endptr == 'k' || *endptr == 'K') {
776            sc->export_certificates_size *= 1024;
777        } else {
778            return
779                "GnuTLSExportCertificates must be set to a size (in bytes) or 'On' or 'Off'";
780        }
781    }
782
783    return NULL;
784}
785
786
787
788/*
789 * Store GnuTLS priority strings. Used for GnuTLSPriorities and
790 * GnuTLSProxyPriorities.
791 */
792const char *mgs_set_priorities(cmd_parms * parms,
793                               void *dummy __attribute__((unused)),
794                               const char *arg)
795{
796    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
797        ap_get_module_config(parms->server->module_config, &gnutls_module);
798
799    if (!strcasecmp(parms->directive->directive, "GnuTLSPriorities"))
800        sc->priorities_str = apr_pstrdup(parms->pool, arg);
801    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyPriorities"))
802        sc->proxy_priorities_str = apr_pstrdup(parms->pool, arg);
803    else
804        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
805        return apr_psprintf(parms->pool,
806                            "mod_gnutls: %s called for invalid option '%s'",
807                            __func__, parms->directive->directive);
808
809    return NULL;
810}
811
812
813
814const char *mgs_set_pin(cmd_parms * parms, void *dummy __attribute__((unused)),
815                        const char *arg)
816{
817
818    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
819        ap_get_module_config(parms->server->module_config, &gnutls_module);
820
821    sc->pin = apr_pstrdup(parms->pool, arg);
822
823    return NULL;
824}
825
826const char *mgs_set_srk_pin(cmd_parms * parms,
827                            void *dummy __attribute__((unused)),
828                            const char *arg)
829{
830
831    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
832        ap_get_module_config(parms->server->module_config, &gnutls_module);
833
834    sc->srk_pin = apr_pstrdup(parms->pool, arg);
835
836    return NULL;
837}
838
839
840
841static mgs_srvconf_rec *_mgs_config_server_create(apr_pool_t * p,
842                                                  char **err __attribute__((unused)))
843{
844    mgs_srvconf_rec *sc = apr_pcalloc(p, sizeof(*sc));
845
846    sc->enabled = GNUTLS_ENABLED_UNSET;
847
848    sc->privkey_x509 = NULL;
849    sc->anon_creds = NULL;
850#ifdef ENABLE_SRP
851    sc->srp_creds = NULL;
852#endif
853    sc->certs = NULL;
854    sc->certs_x509_chain = NULL;
855    sc->certs_x509_crt_chain = NULL;
856    sc->certs_x509_chain_num = 0;
857    sc->p11_modules = NULL;
858    sc->pin = NULL;
859
860    sc->priorities_str = NULL;
861    sc->cache_timeout = MGS_TIMEOUT_UNSET;
862    sc->cache_type = mgs_cache_unset;
863    sc->cache_config = NULL;
864    sc->cache = NULL;
865    sc->tickets = GNUTLS_ENABLED_UNSET;
866    sc->priorities = NULL;
867    sc->dh_params = NULL;
868    sc->dh_file = NULL;
869    sc->ca_list = NULL;
870    sc->ca_list_size = 0;
871    sc->proxy_enabled = GNUTLS_ENABLED_UNSET;
872    sc->export_certificates_size = -1;
873    sc->client_verify_method = mgs_cvm_unset;
874
875    sc->proxy_x509_key_file = NULL;
876    sc->proxy_x509_cert_file = NULL;
877    sc->proxy_x509_ca_file = NULL;
878    sc->proxy_x509_crl_file = NULL;
879    sc->proxy_priorities_str = NULL;
880    sc->proxy_x509_creds = NULL;
881    sc->anon_client_creds = NULL;
882    sc->proxy_priorities = NULL;
883    sc->proxy_x509_tl = NULL;
884
885    sc->ocsp_staple = GNUTLS_ENABLED_UNSET;
886    sc->ocsp_auto_refresh = GNUTLS_ENABLED_UNSET;
887    sc->ocsp_check_nonce = GNUTLS_ENABLED_UNSET;
888    sc->ocsp_response_file = NULL;
889    sc->ocsp_mutex = NULL;
890    sc->ocsp_cache_time = MGS_TIMEOUT_UNSET;
891    sc->ocsp_failure_timeout = MGS_TIMEOUT_UNSET;
892    sc->ocsp_fuzz_time = MGS_TIMEOUT_UNSET;
893    sc->ocsp_socket_timeout = MGS_TIMEOUT_UNSET;
894
895    sc->singleton_wd = NULL;
896
897/* this relies on GnuTLS never changing the gnutls_certificate_request_t enum to define -1 */
898    sc->client_verify_mode = -1;
899
900    return sc;
901}
902
903void *mgs_config_server_create(apr_pool_t * p,
904                               server_rec * s __attribute__((unused))) {
905    char *err = NULL;
906    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
907    if (sc)
908        return sc;
909    else
910        return err;
911}
912
913#define gnutls_srvconf_merge(t, unset) sc->t = (add->t == unset) ? base->t : add->t
914#define gnutls_srvconf_assign(t) sc->t = add->t
915
916void *mgs_config_server_merge(apr_pool_t * p, void *BASE, void *ADD)
917{
918    int i;
919    char *err = NULL;
920    mgs_srvconf_rec *base = (mgs_srvconf_rec *) BASE;
921    mgs_srvconf_rec *add = (mgs_srvconf_rec *) ADD;
922    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
923    if (NULL == sc)
924        return err;
925
926    gnutls_srvconf_merge(enabled, GNUTLS_ENABLED_UNSET);
927    gnutls_srvconf_merge(tickets, GNUTLS_ENABLED_UNSET);
928    gnutls_srvconf_merge(proxy_enabled, GNUTLS_ENABLED_UNSET);
929    gnutls_srvconf_merge(export_certificates_size, -1);
930    gnutls_srvconf_merge(client_verify_method, mgs_cvm_unset);
931    gnutls_srvconf_merge(client_verify_mode, -1);
932    gnutls_srvconf_merge(srp_tpasswd_file, NULL);
933    gnutls_srvconf_merge(srp_tpasswd_conf_file, NULL);
934    gnutls_srvconf_merge(x509_cert_file, NULL);
935
936    gnutls_srvconf_merge(x509_key_file, NULL);
937    gnutls_srvconf_merge(x509_ca_file, NULL);
938    gnutls_srvconf_merge(p11_modules, NULL);
939    gnutls_srvconf_merge(pin, NULL);
940    gnutls_srvconf_merge(dh_file, NULL);
941    gnutls_srvconf_merge(priorities_str, NULL);
942
943    gnutls_srvconf_merge(proxy_x509_key_file, NULL);
944    gnutls_srvconf_merge(proxy_x509_cert_file, NULL);
945    gnutls_srvconf_merge(proxy_x509_ca_file, NULL);
946    gnutls_srvconf_merge(proxy_x509_crl_file, NULL);
947    gnutls_srvconf_merge(proxy_priorities_str, NULL);
948    gnutls_srvconf_merge(proxy_priorities, NULL);
949
950    gnutls_srvconf_merge(ocsp_staple, GNUTLS_ENABLED_UNSET);
951    gnutls_srvconf_merge(ocsp_auto_refresh, GNUTLS_ENABLED_UNSET);
952    gnutls_srvconf_merge(ocsp_check_nonce, GNUTLS_ENABLED_UNSET);
953    gnutls_srvconf_assign(ocsp_response_file);
954    gnutls_srvconf_merge(ocsp_cache_time, MGS_TIMEOUT_UNSET);
955    gnutls_srvconf_merge(ocsp_failure_timeout, MGS_TIMEOUT_UNSET);
956    gnutls_srvconf_merge(ocsp_fuzz_time, MGS_TIMEOUT_UNSET);
957    gnutls_srvconf_merge(ocsp_socket_timeout, MGS_TIMEOUT_UNSET);
958
959    gnutls_srvconf_assign(ca_list);
960    gnutls_srvconf_assign(ca_list_size);
961    gnutls_srvconf_assign(certs);
962    gnutls_srvconf_assign(anon_creds);
963    gnutls_srvconf_assign(srp_creds);
964    gnutls_srvconf_assign(certs_x509_chain);
965    gnutls_srvconf_assign(certs_x509_crt_chain);
966    gnutls_srvconf_assign(certs_x509_chain_num);
967
968    /* how do these get transferred cleanly before the data from ADD
969     * goes away? */
970    gnutls_srvconf_assign(cert_cn);
971    for (i = 0; i < MAX_CERT_SAN; i++)
972        gnutls_srvconf_assign(cert_san[i]);
973
974    return sc;
975}
976
977#undef gnutls_srvconf_merge
978#undef gnutls_srvconf_assign
979
980void *mgs_config_dir_merge(apr_pool_t * p,
981                           void *basev __attribute__((unused)),
982                           void *addv __attribute__((unused))) {
983    mgs_dirconf_rec *new;
984    /*    mgs_dirconf_rec *base = (mgs_dirconf_rec *) basev; */
985    mgs_dirconf_rec *add = (mgs_dirconf_rec *) addv;
986
987    new = (mgs_dirconf_rec *) apr_pcalloc(p, sizeof(mgs_dirconf_rec));
988    new->client_verify_mode = add->client_verify_mode;
989    return new;
990}
991
992void *mgs_config_dir_create(apr_pool_t * p,
993                            char *dir __attribute__((unused))) {
994    mgs_dirconf_rec *dc = apr_palloc(p, sizeof (*dc));
995    dc->client_verify_mode = -1;
996    return dc;
997}
998
999
1000
1001/*
1002 * Store paths to proxy credentials
1003 *
1004 * This function copies the paths provided in the configuration file
1005 * into the server configuration. The post configuration hook takes
1006 * care of actually loading the credentials, which means than invalid
1007 * paths or the like will be detected there.
1008 */
1009const char *mgs_store_cred_path(cmd_parms * parms,
1010                                void *dummy __attribute__((unused)),
1011                                const char *arg)
1012{
1013    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1014        ap_get_module_config(parms->server->module_config, &gnutls_module);
1015
1016    /* parms->directive->directive contains the directive string */
1017    if (!strcasecmp(parms->directive->directive, "GnuTLSProxyKeyFile"))
1018        sc->proxy_x509_key_file = apr_pstrdup(parms->pool, arg);
1019    else if (!strcasecmp(parms->directive->directive,
1020                         "GnuTLSProxyCertificateFile"))
1021        sc->proxy_x509_cert_file = apr_pstrdup(parms->pool, arg);
1022    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCAFile"))
1023        sc->proxy_x509_ca_file = apr_pstrdup(parms->pool, arg);
1024    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCRLFile"))
1025        sc->proxy_x509_crl_file = apr_pstrdup(parms->pool, arg);
1026    return NULL;
1027}
1028
1029
1030
1031/*
1032 * Record PKCS #11 module to load. Note that the value is only used in
1033 * the base config, settings in virtual hosts are ignored.
1034 */
1035const char *mgs_set_p11_module(cmd_parms * parms,
1036                               void *dummy __attribute__((unused)),
1037                               const char *arg)
1038{
1039    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1040        ap_get_module_config(parms->server->module_config, &gnutls_module);
1041    /* initialize PKCS #11 module list if necessary */
1042    if (sc->p11_modules == NULL)
1043        sc->p11_modules = apr_array_make(parms->pool, 2, sizeof(char*));
1044
1045    *(char **) apr_array_push(sc->p11_modules) = apr_pstrdup(parms->pool, arg);
1046
1047    return NULL;
1048}
Note: See TracBrowser for help on using the repository browser.