source: mod_gnutls/src/gnutls_config.c @ eced11a

asynciodebian/masterproxy-ticket
Last change on this file since eced11a was eced11a, checked in by Fiona Klute <fiona.klute@…>, 3 years ago

Remove server variable ocsp_cache_enable

There is no need to explicitly disable the OCSP cache: It will be used
if OCSP stapling is enabled, and not used otherwise.

  • Property mode set to 100644
File size: 33.2 KB
Line 
1/*
2 *  Copyright 2004-2005 Paul Querna
3 *  Copyright 2008, 2014 Nikos Mavrogiannopoulos
4 *  Copyright 2011 Dash Shendy
5 *  Copyright 2015-2018 Fiona Klute
6 *
7 *  Licensed under the Apache License, Version 2.0 (the "License");
8 *  you may not use this file except in compliance with the License.
9 *  You may obtain a copy of the License at
10 *
11 *      http://www.apache.org/licenses/LICENSE-2.0
12 *
13 *  Unless required by applicable law or agreed to in writing, software
14 *  distributed under the License is distributed on an "AS IS" BASIS,
15 *  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 *  See the License for the specific language governing permissions and
17 *  limitations under the License.
18 */
19
20#include "gnutls_cache.h"
21#include "gnutls_config.h"
22#include "mod_gnutls.h"
23#include "gnutls_ocsp.h"
24#include "apr_lib.h"
25#include <gnutls/abstract.h>
26
27#define INIT_CA_SIZE 128
28
29#ifdef APLOG_USE_MODULE
30APLOG_USE_MODULE(gnutls);
31#endif
32
33static int pin_callback(void *user, int attempt __attribute__((unused)),
34                        const char *token_url __attribute__((unused)),
35                        const char *token_label, unsigned int flags,
36                        char *pin, size_t pin_max)
37{
38    mgs_srvconf_rec *sc = user;
39
40    if (sc->pin == NULL || flags & GNUTLS_PIN_FINAL_TRY ||
41        flags & GNUTLS_PIN_WRONG) {
42        return -1;
43    }
44
45    if (token_label && strcmp(token_label, "SRK") == 0) {
46         snprintf(pin, pin_max, "%s", sc->srk_pin);
47    } else {
48         snprintf(pin, pin_max, "%s", sc->pin);
49    }
50    return 0;
51}
52
53static int load_datum_from_file(apr_pool_t * pool,
54                                const char *file, gnutls_datum_t * data)
55{
56    apr_file_t *fp;
57    apr_finfo_t finfo;
58    apr_status_t rv;
59    apr_size_t br = 0;
60
61    rv = apr_file_open(&fp, file, APR_READ | APR_BINARY,
62                       APR_OS_DEFAULT, pool);
63    if (rv != APR_SUCCESS) {
64        return rv;
65    }
66
67    rv = apr_file_info_get(&finfo, APR_FINFO_SIZE, fp);
68
69    if (rv != APR_SUCCESS) {
70        return rv;
71    }
72
73    data->data = apr_palloc(pool, finfo.size + 1);
74    rv = apr_file_read_full(fp, data->data, finfo.size, &br);
75
76    if (rv != APR_SUCCESS) {
77        return rv;
78    }
79    apr_file_close(fp);
80
81    data->data[br] = '\0';
82    data->size = br;
83
84    return 0;
85}
86
87
88
89/**
90 * Clean up the various GnuTLS data structures allocated by
91 * mgs_load_files()
92 */
93static apr_status_t mgs_pool_free_credentials(void *arg)
94{
95    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) arg;
96
97    if (sc->certs)
98    {
99        gnutls_certificate_free_credentials(sc->certs);
100        sc->certs = NULL;
101    }
102
103    if (sc->anon_creds)
104    {
105        gnutls_anon_free_server_credentials(sc->anon_creds);
106        sc->anon_creds = NULL;
107    }
108
109#ifdef ENABLE_SRP
110    if (sc->srp_creds)
111    {
112        gnutls_srp_free_server_credentials(sc->srp_creds);
113        sc->srp_creds = NULL;
114    }
115#endif
116
117    if (sc->dh_params)
118    {
119        gnutls_dh_params_deinit(sc->dh_params);
120        sc->dh_params = NULL;
121    }
122
123    for (unsigned int i = 0; i < sc->certs_x509_chain_num; i++)
124    {
125        gnutls_pcert_deinit(&sc->certs_x509_chain[i]);
126        gnutls_x509_crt_deinit(sc->certs_x509_crt_chain[i]);
127    }
128
129    if (sc->privkey_x509)
130    {
131        gnutls_privkey_deinit(sc->privkey_x509);
132        sc->privkey_x509 = NULL;
133    }
134
135    if (sc->ca_list)
136    {
137        for (unsigned int i = 0; i < sc->ca_list_size; i++)
138        {
139            gnutls_x509_crt_deinit(sc->ca_list[i]);
140        }
141        gnutls_free(sc->ca_list);
142        sc->ca_list = NULL;
143    }
144
145    if (sc->priorities)
146    {
147        gnutls_priority_deinit(sc->priorities);
148        sc->priorities = NULL;
149    }
150
151    return APR_SUCCESS;
152}
153
154int mgs_load_files(apr_pool_t *pconf, apr_pool_t *ptemp, server_rec *s)
155{
156    apr_pool_t *spool;
157    const char *file;
158    gnutls_datum_t data;
159    int ret;
160    mgs_srvconf_rec *sc =
161        (mgs_srvconf_rec *) ap_get_module_config(s->module_config,
162                                                 &gnutls_module);
163
164    apr_pool_create(&spool, ptemp);
165
166    /* Cleanup function for the GnuTLS structures allocated below */
167    apr_pool_cleanup_register(pconf, sc, mgs_pool_free_credentials,
168                              apr_pool_cleanup_null);
169
170    if (sc->certs == NULL)
171    {
172        ret = gnutls_certificate_allocate_credentials(&sc->certs);
173        if (ret < 0) {
174            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
175                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
176                         gnutls_strerror(ret));
177            ret = -1;
178            goto cleanup;
179        }
180    }
181
182    if (sc->anon_creds == NULL)
183    {
184        ret = gnutls_anon_allocate_server_credentials(&sc->anon_creds);
185        if (ret < 0) {
186            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
187                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
188                         gnutls_strerror(ret));
189            ret = -1;
190            goto cleanup;
191        }
192    }
193
194    /* Load SRP parameters */
195#ifdef ENABLE_SRP
196    if (sc->srp_creds == NULL)
197    {
198        ret = gnutls_srp_allocate_server_credentials(&sc->srp_creds);
199        if (ret < 0) {
200            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
201                         "GnuTLS: Failed to initialize" ": (%d) %s", ret,
202                         gnutls_strerror(ret));
203            ret = -1;
204            goto cleanup;
205        }
206    }
207
208    if (sc->srp_tpasswd_conf_file != NULL && sc->srp_tpasswd_file != NULL)
209    {
210        ret = gnutls_srp_set_server_credentials_file
211            (sc->srp_creds, sc->srp_tpasswd_file,
212             sc->srp_tpasswd_conf_file);
213
214        if (ret < 0 && sc->enabled == GNUTLS_ENABLED_TRUE) {
215            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
216                         "GnuTLS: Host '%s:%d' is missing a "
217                         "SRP password or conf File!",
218                         s->server_hostname, s->port);
219            ret = -1;
220            goto cleanup;
221        }
222    }
223#endif
224
225    /* Load user provided DH parameters, if any */
226    if (sc->dh_file)
227    {
228        if (sc->dh_params == NULL)
229        {
230            ret = gnutls_dh_params_init(&sc->dh_params);
231            if (ret < 0) {
232                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
233                             "GnuTLS: Failed to initialize"
234                             ": (%d) %s", ret, gnutls_strerror(ret));
235                ret = -1;
236                goto cleanup;
237            }
238        }
239
240        if (load_datum_from_file(spool, sc->dh_file, &data) != 0) {
241            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
242                         "GnuTLS: Error Reading " "DH params '%s'", sc->dh_file);
243            ret = -1;
244            goto cleanup;
245        }
246
247        ret =
248            gnutls_dh_params_import_pkcs3(sc->dh_params, &data,
249                                          GNUTLS_X509_FMT_PEM);
250        if (ret < 0) {
251            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
252                         "GnuTLS: Failed to Import "
253                         "DH params '%s': (%d) %s", sc->dh_file, ret,
254                         gnutls_strerror(ret));
255            ret = -1;
256            goto cleanup;
257        }
258    }
259
260    if (sc->x509_cert_file != NULL && sc->certs_x509_crt_chain == NULL)
261    {
262        sc->certs_x509_chain =
263            apr_pcalloc(pconf,
264                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_chain[0]));
265        sc->certs_x509_crt_chain =
266            apr_pcalloc(pconf,
267                        MAX_CHAIN_SIZE * sizeof(sc->certs_x509_crt_chain[0]));
268        unsigned int chain_num = MAX_CHAIN_SIZE;
269        unsigned format = GNUTLS_X509_FMT_PEM;
270
271        /* Load X.509 certificate */
272        if (strncmp(sc->x509_cert_file, "pkcs11:", 7) == 0) {
273            gnutls_pkcs11_obj_t obj;
274
275            file = sc->x509_cert_file;
276
277            ret = gnutls_pkcs11_obj_init(&obj);
278            if (ret < 0) {
279                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
280                             "GnuTLS: Error Initializing PKCS #11 object");
281                ret = -1;
282                goto cleanup;
283            }
284
285            gnutls_pkcs11_obj_set_pin_function(obj, pin_callback, sc);
286
287            ret = gnutls_pkcs11_obj_import_url(obj, file,
288                                               GNUTLS_PKCS11_OBJ_FLAG_LOGIN);
289            if (ret < 0) {
290                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
291                             "GnuTLS: Error Importing PKCS #11 object: "
292                             "'%s': %s",
293                             file, gnutls_strerror(ret));
294                ret = -1;
295                goto cleanup;
296            }
297
298            format = GNUTLS_X509_FMT_DER;
299            ret = gnutls_pkcs11_obj_export2(obj, &data);
300            if (ret < 0) {
301                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
302                             "GnuTLS: Error Exporting a PKCS #11 object: "
303                             "'%s': %s",
304                             file, gnutls_strerror(ret));
305                ret = -1;
306                goto cleanup;
307            }
308
309            gnutls_pkcs11_obj_deinit(obj);
310        } else {
311            file = ap_server_root_relative(spool, sc->x509_cert_file);
312
313            ret = gnutls_load_file(file, &data);
314            if (ret < 0) {
315                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
316                             "GnuTLS: Error Reading Certificate '%s': %s",
317                             file, gnutls_strerror(ret));
318                ret = -1;
319                goto cleanup;
320            }
321        }
322
323        ret = gnutls_x509_crt_list_import(sc->certs_x509_crt_chain,
324                                          &chain_num, &data, format,
325                                          GNUTLS_X509_CRT_LIST_FAIL_IF_UNSORTED);
326        gnutls_free(data.data);
327        sc->certs_x509_chain_num = chain_num;
328
329        if (ret < 0) {
330            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
331                         "GnuTLS: Failed to Import Certificate Chain "
332                         "'%s': (%d) %s",
333                         file, ret, gnutls_strerror(ret));
334            ret = -1;
335            goto cleanup;
336        }
337
338        for (unsigned int i = 0; i < chain_num; i++)
339        {
340            ret =
341                gnutls_pcert_import_x509(&sc->certs_x509_chain[i],
342                                         sc->certs_x509_crt_chain[i], 0);
343            if (ret < 0) {
344                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
345                             "GnuTLS: Failed to Import pCertificate "
346                             "'%s': (%d) %s",
347                             file, ret, gnutls_strerror(ret));
348                ret = -1;
349                goto cleanup;
350            }
351        }
352        sc->certs_x509_chain_num = chain_num;
353    }
354
355    if (sc->x509_key_file && sc->privkey_x509 == NULL)
356    {
357        ret = gnutls_privkey_init(&sc->privkey_x509);
358        if (ret < 0) {
359            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
360                         "GnuTLS: Failed to initialize: (%d) %s", ret,
361                         gnutls_strerror(ret));
362            ret = -1;
363            goto cleanup;
364        }
365
366        if (gnutls_url_is_supported(sc->x509_key_file) != 0) {
367            file = sc->x509_key_file;
368
369            gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback,
370                                            sc);
371
372            ret = gnutls_privkey_import_url(sc->privkey_x509, file, 0);
373
374            if (ret < 0) {
375                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
376                             "GnuTLS: Failed to Import Private Key URL "
377                             "'%s': (%d) %s",
378                             file, ret, gnutls_strerror(ret));
379                ret = -1;
380                goto cleanup;
381            }
382        } else {
383            file = ap_server_root_relative(spool, sc->x509_key_file);
384
385            if (load_datum_from_file(spool, file, &data) != 0) {
386                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
387                             "GnuTLS: Error Reading Private Key '%s'",
388                             file);
389                ret = -1;
390                goto cleanup;
391            }
392
393            ret =
394                gnutls_privkey_import_x509_raw(sc->privkey_x509, &data,
395                                               GNUTLS_X509_FMT_PEM, sc->pin,
396                                               0);
397
398            if (ret < 0) {
399                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
400                             "GnuTLS: Failed to Import Private Key "
401                             "'%s': (%d) %s",
402                             file, ret, gnutls_strerror(ret));
403                ret = -1;
404                goto cleanup;
405            }
406        }
407    }
408
409    /* Load the X.509 CA file */
410    if (sc->x509_ca_file)
411    {
412        if (load_datum_from_file(spool, sc->x509_ca_file, &data) != 0) {
413            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
414                         "GnuTLS: Error Reading " "Client CA File '%s'",
415                         sc->x509_ca_file);
416            ret = -1;
417            goto cleanup;
418        }
419
420        ret = gnutls_x509_crt_list_import2(&sc->ca_list, &sc->ca_list_size,
421                                           &data, GNUTLS_X509_FMT_PEM, 0);
422        if (ret < 0) {
423            ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
424                         "GnuTLS: Failed to load "
425                         "Client CA File '%s': (%d) %s", sc->x509_ca_file,
426                         ret, gnutls_strerror(ret));
427            ret = -1;
428            goto cleanup;
429        }
430    }
431
432    if (sc->priorities_str && sc->priorities == NULL)
433    {
434        const char *err;
435        ret = gnutls_priority_init(&sc->priorities, sc->priorities_str, &err);
436
437        if (ret < 0) {
438            if (ret == GNUTLS_E_INVALID_REQUEST) {
439                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
440                             "GnuTLS: Syntax error parsing priorities string at: %s",
441                             err);
442            } else {
443                ap_log_error(APLOG_MARK, APLOG_STARTUP, 0, s,
444                             "GnuTLS: error parsing priorities string");
445
446            }
447            ret = -1;
448            goto cleanup;
449        }
450    }
451
452    ret = 0;
453 cleanup:
454    apr_pool_destroy(spool);
455
456    return ret;
457}
458
459int mgs_pkcs11_reinit(server_rec * base_server)
460{
461    int ret;
462    server_rec *s;
463    mgs_srvconf_rec *sc;
464
465    gnutls_pkcs11_reinit();
466
467    for (s = base_server; s; s = s->next) {
468        sc = (mgs_srvconf_rec *) ap_get_module_config(s->module_config, &gnutls_module);
469
470            /* gnutls caches the session in a private key, so we need to open
471             * a new one */
472            if (sc->x509_key_file && gnutls_url_is_supported(sc->x509_key_file) != 0) {
473                gnutls_privkey_deinit(sc->privkey_x509);
474
475                ret = gnutls_privkey_init(&sc->privkey_x509);
476                if (ret < 0) {
477                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
478                                 "GnuTLS: Failed to initialize: (%d) %s", ret,
479                                 gnutls_strerror(ret));
480                    goto fail;
481                }
482
483                gnutls_privkey_set_pin_function(sc->privkey_x509, pin_callback, sc);
484
485                ret = gnutls_privkey_import_url(sc->privkey_x509, sc->x509_key_file, 0);
486                if (ret < 0) {
487                    ap_log_error(APLOG_MARK, APLOG_EMERG, 0, s,
488                             "GnuTLS: Failed to Re-Import Private Key URL '%s': (%d) %s",
489                             sc->x509_key_file, ret, gnutls_strerror(ret));
490                    goto fail;
491                }
492            }
493    }
494
495    return 0;
496
497 fail:
498    gnutls_privkey_deinit(sc->privkey_x509);
499    return -1;
500}
501
502const char *mgs_set_dh_file(cmd_parms * parms, void *dummy __attribute__((unused)),
503        const char *arg) {
504    mgs_srvconf_rec *sc =
505        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
506                                                 module_config,
507                                                 &gnutls_module);
508
509    sc->dh_file = ap_server_root_relative(parms->pool, arg);
510
511    return NULL;
512}
513
514const char *mgs_set_cert_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
515
516    mgs_srvconf_rec *sc =
517        (mgs_srvconf_rec *) ap_get_module_config(parms->
518                                                 server->module_config,
519                                                 &gnutls_module);
520
521    sc->x509_cert_file = apr_pstrdup(parms->pool, arg);
522
523    return NULL;
524
525}
526
527const char *mgs_set_key_file(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
528
529    mgs_srvconf_rec *sc =
530        (mgs_srvconf_rec *) ap_get_module_config(parms->
531                                                 server->module_config,
532                                                 &gnutls_module);
533
534    sc->x509_key_file = apr_pstrdup(parms->pool, arg);
535
536    return NULL;
537}
538
539const char *mgs_set_tickets(cmd_parms *parms,
540                            void *dummy __attribute__((unused)),
541                            const int arg)
542{
543    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
544        ap_get_module_config(parms->server->module_config, &gnutls_module);
545
546    if (arg)
547        sc->tickets = GNUTLS_ENABLED_TRUE;
548    else
549        sc->tickets = GNUTLS_ENABLED_FALSE;
550
551    return NULL;
552}
553
554
555#ifdef ENABLE_SRP
556
557const char *mgs_set_srp_tpasswd_file(cmd_parms * parms, void *dummy __attribute__((unused)),
558        const char *arg) {
559    mgs_srvconf_rec *sc =
560        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
561                                                 module_config,
562                                                 &gnutls_module);
563
564    sc->srp_tpasswd_file = ap_server_root_relative(parms->pool, arg);
565
566    return NULL;
567}
568
569const char *mgs_set_srp_tpasswd_conf_file(cmd_parms * parms, void *dummy __attribute__((unused)),
570        const char *arg) {
571    mgs_srvconf_rec *sc =
572        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
573                                                 module_config,
574                                                 &gnutls_module);
575
576    sc->srp_tpasswd_conf_file = ap_server_root_relative(parms->pool, arg);
577
578    return NULL;
579}
580
581#endif
582
583const char *mgs_set_cache(cmd_parms * parms,
584                          void *dummy __attribute__((unused)),
585                          const char *type, const char *arg)
586{
587    const char *err;
588    mgs_srvconf_rec *sc =
589        ap_get_module_config(parms->server->module_config,
590                             &gnutls_module);
591    if ((err = ap_check_cmd_context(parms, GLOBAL_ONLY)))
592        return err;
593
594    unsigned char enable = GNUTLS_ENABLED_TRUE;
595    /* none: disable cache */
596    if (strcasecmp("none", type) == 0)
597        enable = GNUTLS_ENABLED_FALSE;
598
599    /* Try to split socache "type:config" style configuration */
600    const char* sep = ap_strchr_c(type, ':');
601    if (sep)
602    {
603        type = apr_pstrmemdup(parms->temp_pool, type, sep - type);
604        if (arg != NULL)
605        {
606            /* No mixing of socache style and legacy config! */
607            return "GnuTLSCache appears to have a mod_socache style "
608                "type:config value, but there is a second parameter!";
609        }
610        arg = ++sep;
611    }
612
613    mgs_cache_t *cache = NULL;
614    /* parms->directive->directive contains the directive string */
615    if (!strcasecmp(parms->directive->directive, "GnuTLSCache"))
616    {
617        if (enable == GNUTLS_ENABLED_FALSE)
618        {
619            sc->cache_enable = GNUTLS_ENABLED_FALSE;
620            return NULL;
621        }
622        sc->cache_enable = GNUTLS_ENABLED_TRUE;
623        cache = &sc->cache;
624    }
625    else if (!strcasecmp(parms->directive->directive, "GnuTLSOCSPCache"))
626    {
627        if (enable == GNUTLS_ENABLED_FALSE)
628            return "\"GnuTLSOCSPCache none\" is invalid, use "
629                "\"GnuTLSOCSPStapling off\" if you want to disable "
630                "OCSP stapling.";
631        cache = &sc->ocsp_cache;
632    }
633    else
634        return apr_psprintf(parms->temp_pool, "Internal Error: %s "
635                            "called for unknown directive %s",
636                            __func__, parms->directive->directive);
637
638    return mgs_cache_inst_config(cache, parms->server,
639                                 type, arg,
640                                 parms->pool, parms->temp_pool);
641}
642
643const char *mgs_set_timeout(cmd_parms * parms,
644                            void *dummy __attribute__((unused)),
645                            const char *arg)
646{
647    apr_int64_t argint = apr_atoi64(arg);
648    /* timeouts cannot be negative */
649    if (argint < 0)
650        return apr_psprintf(parms->pool, "%s: Invalid argument",
651                            parms->directive->directive);
652
653    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
654        ap_get_module_config(parms->server->module_config, &gnutls_module);
655
656    if (!apr_strnatcasecmp(parms->directive->directive, "GnuTLSCacheTimeout"))
657        sc->cache_timeout = apr_time_from_sec(argint);
658    else if (!apr_strnatcasecmp(parms->directive->directive,
659                                "GnuTLSOCSPCacheTimeout"))
660        sc->ocsp_cache_time = apr_time_from_sec(argint);
661    else if (!apr_strnatcasecmp(parms->directive->directive,
662                                "GnuTLSOCSPFailureTimeout"))
663        sc->ocsp_failure_timeout = apr_time_from_sec(argint);
664    else if (!apr_strnatcasecmp(parms->directive->directive,
665                                "GnuTLSOCSPFuzzTime"))
666        sc->ocsp_fuzz_time = apr_time_from_sec(argint);
667    else if (!apr_strnatcasecmp(parms->directive->directive,
668                                "GnuTLSOCSPSocketTimeout"))
669        sc->ocsp_socket_timeout = apr_time_from_sec(argint);
670    else
671        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
672        return apr_psprintf(parms->pool,
673                            "mod_gnutls: %s called for invalid option '%s'",
674                            __func__, parms->directive->directive);
675
676    return NULL;
677}
678
679const char *mgs_set_client_verify_method(cmd_parms * parms, void *dummy __attribute__((unused)),
680        const char *arg) {
681    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)ap_get_module_config(parms->server->module_config, &gnutls_module);
682
683    if (strcasecmp("cartel", arg) == 0) {
684        sc->client_verify_method = mgs_cvm_cartel;
685    } else if (strcasecmp("msva", arg) == 0) {
686#ifdef ENABLE_MSVA
687        sc->client_verify_method = mgs_cvm_msva;
688#else
689        return "GnuTLSClientVerifyMethod: msva is not supported";
690#endif
691    } else {
692        return "GnuTLSClientVerifyMethod: Invalid argument";
693    }
694
695    return NULL;
696}
697
698const char *mgs_set_client_verify(cmd_parms * parms,
699                                  void *dirconf,
700                                  const char *arg) {
701    int mode;
702
703    if (strcasecmp("none", arg) == 0 || strcasecmp("ignore", arg) == 0) {
704        mode = GNUTLS_CERT_IGNORE;
705    } else if (strcasecmp("optional", arg) == 0
706               || strcasecmp("request", arg) == 0) {
707        mode = GNUTLS_CERT_REQUEST;
708    } else if (strcasecmp("require", arg) == 0) {
709        mode = GNUTLS_CERT_REQUIRE;
710    } else {
711        return "GnuTLSClientVerify: Invalid argument";
712    }
713
714    /* This was set from a directory context */
715    if (parms->path) {
716        mgs_dirconf_rec *dc = (mgs_dirconf_rec *) dirconf;
717        dc->client_verify_mode = mode;
718    } else {
719        mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
720            ap_get_module_config(parms->server->module_config,
721                                 &gnutls_module);
722        sc->client_verify_mode = mode;
723    }
724
725    return NULL;
726}
727
728const char *mgs_set_client_ca_file(cmd_parms * parms, void *dummy __attribute__((unused)),
729        const char *arg) {
730    mgs_srvconf_rec *sc =
731        (mgs_srvconf_rec *) ap_get_module_config(parms->server->
732                                                 module_config,
733                                                 &gnutls_module);
734
735    sc->x509_ca_file = ap_server_root_relative(parms->pool, arg);
736
737    return NULL;
738}
739
740/*
741 * Enable TLS proxy operation if arg is true, disable it otherwise.
742 */
743const char *mgs_set_proxy_engine(cmd_parms *parms,
744                                 void *dummy __attribute__((unused)),
745                                 const int arg)
746{
747    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
748        ap_get_module_config(parms->server->module_config, &gnutls_module);
749
750    if (arg)
751        sc->proxy_enabled = GNUTLS_ENABLED_TRUE;
752    else
753        sc->proxy_enabled = GNUTLS_ENABLED_FALSE;
754
755    return NULL;
756}
757
758/*
759 * Enable TLS for the server/vhost if arg is true, disable it
760 * otherwise.
761 */
762const char *mgs_set_enabled(cmd_parms *parms,
763                            void *dummy __attribute__((unused)),
764                            const int arg)
765{
766    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
767        ap_get_module_config(parms->server->module_config, &gnutls_module);
768
769    if (arg)
770        sc->enabled = GNUTLS_ENABLED_TRUE;
771    else
772        sc->enabled = GNUTLS_ENABLED_FALSE;
773
774    return NULL;
775}
776
777const char *mgs_set_export_certificates_size(cmd_parms * parms, void *dummy __attribute__((unused)), const char *arg) {
778    mgs_srvconf_rec *sc = (mgs_srvconf_rec *) ap_get_module_config(parms->server->module_config, &gnutls_module);
779    if (!strcasecmp(arg, "On")) {
780        sc->export_certificates_size = 16 * 1024;
781    } else if (!strcasecmp(arg, "Off")) {
782        sc->export_certificates_size = 0;
783    } else {
784        char *endptr;
785        sc->export_certificates_size = strtol(arg, &endptr, 10);
786        while (apr_isspace(*endptr))
787            endptr++;
788        if (*endptr == '\0' || *endptr == 'b' || *endptr == 'B') {
789            ;
790        } else if (*endptr == 'k' || *endptr == 'K') {
791            sc->export_certificates_size *= 1024;
792        } else {
793            return
794                "GnuTLSExportCertificates must be set to a size (in bytes) or 'On' or 'Off'";
795        }
796    }
797
798    return NULL;
799}
800
801
802
803/*
804 * Store GnuTLS priority strings. Used for GnuTLSPriorities and
805 * GnuTLSProxyPriorities.
806 */
807const char *mgs_set_priorities(cmd_parms * parms,
808                               void *dummy __attribute__((unused)),
809                               const char *arg)
810{
811    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
812        ap_get_module_config(parms->server->module_config, &gnutls_module);
813
814    if (!strcasecmp(parms->directive->directive, "GnuTLSPriorities"))
815        sc->priorities_str = apr_pstrdup(parms->pool, arg);
816    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyPriorities"))
817        sc->proxy_priorities_str = apr_pstrdup(parms->pool, arg);
818    else
819        /* Can't happen unless there's a serious bug in mod_gnutls or Apache */
820        return apr_psprintf(parms->pool,
821                            "mod_gnutls: %s called for invalid option '%s'",
822                            __func__, parms->directive->directive);
823
824    return NULL;
825}
826
827
828
829const char *mgs_set_pin(cmd_parms * parms, void *dummy __attribute__((unused)),
830                        const char *arg)
831{
832
833    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
834        ap_get_module_config(parms->server->module_config, &gnutls_module);
835
836    sc->pin = apr_pstrdup(parms->pool, arg);
837
838    return NULL;
839}
840
841const char *mgs_set_srk_pin(cmd_parms * parms,
842                            void *dummy __attribute__((unused)),
843                            const char *arg)
844{
845
846    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
847        ap_get_module_config(parms->server->module_config, &gnutls_module);
848
849    sc->srk_pin = apr_pstrdup(parms->pool, arg);
850
851    return NULL;
852}
853
854
855
856static mgs_srvconf_rec *_mgs_config_server_create(apr_pool_t * p,
857                                                  char **err __attribute__((unused)))
858{
859    mgs_srvconf_rec *sc = apr_pcalloc(p, sizeof(*sc));
860
861    sc->enabled = GNUTLS_ENABLED_UNSET;
862
863    sc->privkey_x509 = NULL;
864    sc->anon_creds = NULL;
865#ifdef ENABLE_SRP
866    sc->srp_creds = NULL;
867#endif
868    sc->certs = NULL;
869    sc->certs_x509_chain = NULL;
870    sc->certs_x509_crt_chain = NULL;
871    sc->certs_x509_chain_num = 0;
872    sc->p11_modules = NULL;
873    sc->pin = NULL;
874
875    sc->priorities_str = NULL;
876    sc->cache_timeout = MGS_TIMEOUT_UNSET;
877    sc->cache_enable = GNUTLS_ENABLED_UNSET;
878    sc->cache = NULL;
879    sc->tickets = GNUTLS_ENABLED_UNSET;
880    sc->priorities = NULL;
881    sc->dh_params = NULL;
882    sc->dh_file = NULL;
883    sc->ca_list = NULL;
884    sc->ca_list_size = 0;
885    sc->proxy_enabled = GNUTLS_ENABLED_UNSET;
886    sc->export_certificates_size = -1;
887    sc->client_verify_method = mgs_cvm_unset;
888
889    sc->proxy_x509_key_file = NULL;
890    sc->proxy_x509_cert_file = NULL;
891    sc->proxy_x509_ca_file = NULL;
892    sc->proxy_x509_crl_file = NULL;
893    sc->proxy_priorities_str = NULL;
894    sc->proxy_x509_creds = NULL;
895    sc->anon_client_creds = NULL;
896    sc->proxy_priorities = NULL;
897    sc->proxy_x509_tl = NULL;
898
899    sc->ocsp_staple = GNUTLS_ENABLED_UNSET;
900    sc->ocsp_auto_refresh = GNUTLS_ENABLED_UNSET;
901    sc->ocsp_check_nonce = GNUTLS_ENABLED_UNSET;
902    sc->ocsp_response_file = NULL;
903    sc->ocsp_mutex = NULL;
904    sc->ocsp_cache = NULL;
905    sc->ocsp_cache_time = MGS_TIMEOUT_UNSET;
906    sc->ocsp_failure_timeout = MGS_TIMEOUT_UNSET;
907    sc->ocsp_fuzz_time = MGS_TIMEOUT_UNSET;
908    sc->ocsp_socket_timeout = MGS_TIMEOUT_UNSET;
909
910    sc->singleton_wd = NULL;
911
912/* this relies on GnuTLS never changing the gnutls_certificate_request_t enum to define -1 */
913    sc->client_verify_mode = -1;
914
915    return sc;
916}
917
918void *mgs_config_server_create(apr_pool_t * p,
919                               server_rec * s __attribute__((unused))) {
920    char *err = NULL;
921    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
922    if (sc)
923        return sc;
924    else
925        return err;
926}
927
928#define gnutls_srvconf_merge(t, unset) sc->t = (add->t == unset) ? base->t : add->t
929#define gnutls_srvconf_assign(t) sc->t = add->t
930
931void *mgs_config_server_merge(apr_pool_t * p, void *BASE, void *ADD)
932{
933    int i;
934    char *err = NULL;
935    mgs_srvconf_rec *base = (mgs_srvconf_rec *) BASE;
936    mgs_srvconf_rec *add = (mgs_srvconf_rec *) ADD;
937    mgs_srvconf_rec *sc = _mgs_config_server_create(p, &err);
938    if (NULL == sc)
939        return err;
940
941    gnutls_srvconf_merge(enabled, GNUTLS_ENABLED_UNSET);
942    gnutls_srvconf_merge(tickets, GNUTLS_ENABLED_UNSET);
943    gnutls_srvconf_merge(proxy_enabled, GNUTLS_ENABLED_UNSET);
944    gnutls_srvconf_merge(export_certificates_size, -1);
945    gnutls_srvconf_merge(client_verify_method, mgs_cvm_unset);
946    gnutls_srvconf_merge(client_verify_mode, -1);
947    gnutls_srvconf_merge(srp_tpasswd_file, NULL);
948    gnutls_srvconf_merge(srp_tpasswd_conf_file, NULL);
949    gnutls_srvconf_merge(x509_cert_file, NULL);
950
951    gnutls_srvconf_merge(x509_key_file, NULL);
952    gnutls_srvconf_merge(x509_ca_file, NULL);
953    gnutls_srvconf_merge(p11_modules, NULL);
954    gnutls_srvconf_merge(pin, NULL);
955    gnutls_srvconf_merge(dh_file, NULL);
956    gnutls_srvconf_merge(priorities_str, NULL);
957    gnutls_srvconf_merge(cache_timeout, MGS_TIMEOUT_UNSET);
958
959    gnutls_srvconf_merge(proxy_x509_key_file, NULL);
960    gnutls_srvconf_merge(proxy_x509_cert_file, NULL);
961    gnutls_srvconf_merge(proxy_x509_ca_file, NULL);
962    gnutls_srvconf_merge(proxy_x509_crl_file, NULL);
963    gnutls_srvconf_merge(proxy_priorities_str, NULL);
964    gnutls_srvconf_merge(proxy_priorities, NULL);
965
966    gnutls_srvconf_merge(ocsp_staple, GNUTLS_ENABLED_UNSET);
967    gnutls_srvconf_merge(ocsp_auto_refresh, GNUTLS_ENABLED_UNSET);
968    gnutls_srvconf_merge(ocsp_check_nonce, GNUTLS_ENABLED_UNSET);
969    gnutls_srvconf_assign(ocsp_response_file);
970    gnutls_srvconf_merge(ocsp_cache_time, MGS_TIMEOUT_UNSET);
971    gnutls_srvconf_merge(ocsp_failure_timeout, MGS_TIMEOUT_UNSET);
972    gnutls_srvconf_merge(ocsp_fuzz_time, MGS_TIMEOUT_UNSET);
973    gnutls_srvconf_merge(ocsp_socket_timeout, MGS_TIMEOUT_UNSET);
974
975    gnutls_srvconf_assign(ca_list);
976    gnutls_srvconf_assign(ca_list_size);
977    gnutls_srvconf_assign(certs);
978    gnutls_srvconf_assign(anon_creds);
979    gnutls_srvconf_assign(srp_creds);
980    gnutls_srvconf_assign(certs_x509_chain);
981    gnutls_srvconf_assign(certs_x509_crt_chain);
982    gnutls_srvconf_assign(certs_x509_chain_num);
983
984    /* how do these get transferred cleanly before the data from ADD
985     * goes away? */
986    gnutls_srvconf_assign(cert_cn);
987    for (i = 0; i < MAX_CERT_SAN; i++)
988        gnutls_srvconf_assign(cert_san[i]);
989
990    return sc;
991}
992
993#undef gnutls_srvconf_merge
994#undef gnutls_srvconf_assign
995
996void *mgs_config_dir_merge(apr_pool_t * p,
997                           void *basev __attribute__((unused)),
998                           void *addv __attribute__((unused))) {
999    mgs_dirconf_rec *new;
1000    /*    mgs_dirconf_rec *base = (mgs_dirconf_rec *) basev; */
1001    mgs_dirconf_rec *add = (mgs_dirconf_rec *) addv;
1002
1003    new = (mgs_dirconf_rec *) apr_pcalloc(p, sizeof(mgs_dirconf_rec));
1004    new->client_verify_mode = add->client_verify_mode;
1005    return new;
1006}
1007
1008void *mgs_config_dir_create(apr_pool_t * p,
1009                            char *dir __attribute__((unused))) {
1010    mgs_dirconf_rec *dc = apr_palloc(p, sizeof (*dc));
1011    dc->client_verify_mode = -1;
1012    return dc;
1013}
1014
1015
1016
1017/*
1018 * Store paths to proxy credentials
1019 *
1020 * This function copies the paths provided in the configuration file
1021 * into the server configuration. The post configuration hook takes
1022 * care of actually loading the credentials, which means than invalid
1023 * paths or the like will be detected there.
1024 */
1025const char *mgs_store_cred_path(cmd_parms * parms,
1026                                void *dummy __attribute__((unused)),
1027                                const char *arg)
1028{
1029    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1030        ap_get_module_config(parms->server->module_config, &gnutls_module);
1031
1032    /* parms->directive->directive contains the directive string */
1033    if (!strcasecmp(parms->directive->directive, "GnuTLSProxyKeyFile"))
1034        sc->proxy_x509_key_file = apr_pstrdup(parms->pool, arg);
1035    else if (!strcasecmp(parms->directive->directive,
1036                         "GnuTLSProxyCertificateFile"))
1037        sc->proxy_x509_cert_file = apr_pstrdup(parms->pool, arg);
1038    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCAFile"))
1039        sc->proxy_x509_ca_file = apr_pstrdup(parms->pool, arg);
1040    else if (!strcasecmp(parms->directive->directive, "GnuTLSProxyCRLFile"))
1041        sc->proxy_x509_crl_file = apr_pstrdup(parms->pool, arg);
1042    return NULL;
1043}
1044
1045
1046
1047/*
1048 * Record PKCS #11 module to load. Note that the value is only used in
1049 * the base config, settings in virtual hosts are ignored.
1050 */
1051const char *mgs_set_p11_module(cmd_parms * parms,
1052                               void *dummy __attribute__((unused)),
1053                               const char *arg)
1054{
1055    mgs_srvconf_rec *sc = (mgs_srvconf_rec *)
1056        ap_get_module_config(parms->server->module_config, &gnutls_module);
1057    /* initialize PKCS #11 module list if necessary */
1058    if (sc->p11_modules == NULL)
1059        sc->p11_modules = apr_array_make(parms->pool, 2, sizeof(char*));
1060
1061    *(char **) apr_array_push(sc->p11_modules) = apr_pstrdup(parms->pool, arg);
1062
1063    return NULL;
1064}
Note: See TracBrowser for help on using the repository browser.