Diff for /libraries/libldap/tls_o.c between versions 1.9 and 1.13

version 1.9, 2009/07/30 19:52:09 version 1.13, 2009/09/25 21:31:24
Line 1 Line 1
 /* tls_o.c - Handle tls/ssl using OpenSSL */  /* tls_o.c - Handle tls/ssl using OpenSSL */
 /* $OpenLDAP: pkg/ldap/libraries/libldap/tls_o.c,v 1.8 2009/07/01 21:46:36 hyc Exp $ */  /* $OpenLDAP: pkg/ldap/libraries/libldap/tls_o.c,v 1.12 2009/08/19 10:23:27 ando Exp $ */
 /* This work is part of OpenLDAP Software <http://www.openldap.org/>.  /* This work is part of OpenLDAP Software <http://www.openldap.org/>.
  *   *
  * Copyright 2008-2009 The OpenLDAP Foundation.   * Copyright 2008-2009 The OpenLDAP Foundation.
Line 579  tlso_session_chkhost( LDAP *ld, tls_sess Line 579  tlso_session_chkhost( LDAP *ld, tls_sess
   
         if (ret != LDAP_SUCCESS) {          if (ret != LDAP_SUCCESS) {
                 X509_NAME *xn;                  X509_NAME *xn;
                 char buf[2048];                  X509_NAME_ENTRY *ne;
                 int clen;                  ASN1_OBJECT *obj;
                 buf[0] = '\0';                  ASN1_STRING *cn = NULL;
                   int navas;
   
                   /* find the last CN */
                   obj = OBJ_nid2obj( NID_commonName );
                   if ( !obj ) goto no_cn; /* should never happen */
   
                 xn = X509_get_subject_name(x);                  xn = X509_get_subject_name(x);
                 clen = X509_NAME_get_text_by_NID( xn, NID_commonName,                  navas = X509_NAME_entry_count( xn );
                         buf, sizeof(buf));                  for ( i=navas-1; i>=0; i-- ) {
                 if( clen == -1 )                          ne = X509_NAME_get_entry( xn, i );
                           if ( !OBJ_cmp( ne->object, obj )) {
                                   cn = X509_NAME_ENTRY_get_data( ne );
                                   break;
                           }
                   }
   
                   if( !cn )
                 {                  {
   no_cn:
                         Debug( LDAP_DEBUG_ANY,                          Debug( LDAP_DEBUG_ANY,
                                 "TLS: unable to get common name from peer certificate.\n",                                  "TLS: unable to get common name from peer certificate.\n",
                                 0, 0, 0 );                                  0, 0, 0 );
Line 598  tlso_session_chkhost( LDAP *ld, tls_sess Line 611  tlso_session_chkhost( LDAP *ld, tls_sess
                         ld->ld_error = LDAP_STRDUP(                          ld->ld_error = LDAP_STRDUP(
                                 _("TLS: unable to get CN from peer certificate"));                                  _("TLS: unable to get CN from peer certificate"));
   
                 } else if (clen == nlen && strcasecmp(name, buf) == 0 ) {                  } else if ( cn->length == nlen &&
                           strncasecmp( name, (char *) cn->data, nlen ) == 0 ) {
                         ret = LDAP_SUCCESS;                          ret = LDAP_SUCCESS;
   
                 } else if (( buf[0] == '*' ) && ( buf[1] == '.' )) {                  } else if (( cn->data[0] == '*' ) && ( cn->data[1] == '.' )) {
                         char *domain = strchr(name, '.');                          char *domain = strchr(name, '.');
                         if( domain ) {                          if( domain ) {
                                 size_t dlen;                                  int dlen;
   
                                 dlen = nlen - (domain-name);                                  dlen = nlen - (domain-name);
   
                                 /* Is this a wildcard match? */                                  /* Is this a wildcard match? */
                                 if ((dlen == clen-1) && !strncasecmp(domain, &buf[1], dlen)) {                                  if ((dlen == cn->length-1) &&
                                           !strncasecmp(domain, (char *) &cn->data[1], dlen)) {
                                         ret = LDAP_SUCCESS;                                          ret = LDAP_SUCCESS;
                                 }                                  }
                         }                          }
Line 617  tlso_session_chkhost( LDAP *ld, tls_sess Line 632  tlso_session_chkhost( LDAP *ld, tls_sess
   
                 if( ret == LDAP_LOCAL_ERROR ) {                  if( ret == LDAP_LOCAL_ERROR ) {
                         Debug( LDAP_DEBUG_ANY, "TLS: hostname (%s) does not match "                          Debug( LDAP_DEBUG_ANY, "TLS: hostname (%s) does not match "
                                 "common name in certificate (%s).\n",                                   "common name in certificate (%.*s).\n", 
                                 name, buf, 0 );                                  name, cn->length, cn->data );
                         ret = LDAP_CONNECT_ERROR;                          ret = LDAP_CONNECT_ERROR;
                         if ( ld->ld_error ) {                          if ( ld->ld_error ) {
                                 LDAP_FREE( ld->ld_error );                                  LDAP_FREE( ld->ld_error );
Line 1051  static RSA * Line 1066  static RSA *
 tlso_tmp_rsa_cb( SSL *ssl, int is_export, int key_length )  tlso_tmp_rsa_cb( SSL *ssl, int is_export, int key_length )
 {  {
         RSA *tmp_rsa;          RSA *tmp_rsa;
   
         /* FIXME:  Pregenerate the key on startup */          /* FIXME:  Pregenerate the key on startup */
         /* FIXME:  Who frees the key? */          /* FIXME:  Who frees the key? */
   #if OPENSSL_VERSION_NUMBER > 0x00908000
           BIGNUM *bn = BN_new();
           if ( bn ) {
                   if ( BN_set_word( bn, RSA_F4 )) {
                           tmp_rsa = RSA_new();
                           if ( tmp_rsa && !RSA_generate_key_ex( tmp_rsa, key_length, bn, NULL )) {
                                   RSA_free( tmp_rsa );
                                   tmp_rsa = NULL;
                           }
                   }
                   BN_free( bn );
           } else {
                   tmp_rsa = NULL;
           }
   #else
         tmp_rsa = RSA_generate_key( key_length, RSA_F4, NULL, NULL );          tmp_rsa = RSA_generate_key( key_length, RSA_F4, NULL, NULL );
   #endif
   
         if ( !tmp_rsa ) {          if ( !tmp_rsa ) {
                 Debug( LDAP_DEBUG_ANY,                  Debug( LDAP_DEBUG_ANY,

Removed from v.1.9  
changed lines
  Added in v.1.13


______________
© Copyright 1998-2020, OpenLDAP Foundation, info@OpenLDAP.org