[attributs, crans_utils, objets] Ajout d'attributs encrypted, privatekey, csr et objectClass privateKey

On peut générer/ajouter des clefs privées via gest_crans_lc. Elles sont forcément chiffré avec une passphrase. Pour les machines crans, elle est dans /etc/crans/secrets. Pour les autres machines elle n'est pas connue du crans et demandée à l'utilisateur lorsqu'il y a besoin de la clef privée pour des opérations. Du coup, on peut générer des csr automatiquement dans gest_crans_lc, ça m'a l'air bien pratique, ça évite d'oublier des subjectAltName par exemple quand on renouvel le certificat comme les nom du certificat sont également dans ldap. On peut aussi, juste avec une requête ldap voir quels sont les certificats qui vont bientôt expirer (&(objectClass=x509Cert)(end<int(time.time())+delai)).
2014-03-17 11:26:53 +01:00 · 2014-03-17 11:26:53 +01:00 · 72e35bcb32
commit 72e35bcb32
parent 480497ce4e
3 changed files with 118 additions and 35 deletions
--- a/attributs.py
+++ b/attributs.py
@ -47,7 +47,7 @@ import smtplib
 import random
 import string
 from unicodedata import normalize
-from crans_utils import format_tel, format_mac, mailexist, validate_name, ip4_of_rid, ip6_of_mac
+from crans_utils import format_tel, format_mac, mailexist, validate_name, ip4_of_rid, ip6_of_mac, fetch_cert_info
 import itertools

 sys.path.append("/usr/scripts")
@ -397,7 +397,7 @@ class objectClass(Attr):
        if val not in [ 'top', 'organizationalUnit', 'posixAccount', 'shadowAccount',
                        'proprio', 'adherent', 'club', 'machine', 'machineCrans',
                        'borneWifi', 'machineWifi', 'machineFixe', 'x509Cert', 'TLSACert',
-                        'baseCert', 'cransAccount', 'service', 'facture', 'freeMid' ]:
+                        'baseCert', 'cransAccount', 'service', 'facture', 'freeMid', 'privateKey' ]:
            raise ValueError("Pourquoi insérer un objectClass=%r ?" % val)
        else:
            self.value = unicode(val)
@ -1555,6 +1555,49 @@ class revocked(boolAttr):
    can_modify = [nounou]
    legend = "Détermine si le certificat est révoqué"

+@crans_attribute
+class encrypted(boolAttr):
+    ldap_name = "encrypted"
+    singlevalue = True
+    optional = True
+    can_modify = [nounou, parent]
+    legend = "Détermine si une clef privée est chiffrée"
+
+@crans_attribute
+class privatekey(Attr):
+    ldap_name = "privatekey"
+    python_type = str
+    can_modify = [parent, nounou]
+    legend = "Clef privée"
+
+@crans_attribute
+class csr(Attr):
+    ldap_name = "csr"
+    python_type = str
+    can_modify = [parent, nounou]
+    legend = "requête de signature de certificat"
+
+    def _format_cert(self, csr):
+            import OpenSSL
+            try:
+                x509 = OpenSSL.crypto.load_certificate_request(OpenSSL.crypto.FILETYPE_PEM, csr)
+            except:
+                print csr
+                raise
+            data = fetch_cert_info(x509)
+            return data
+
+    def parse_value(self, csr):
+        if self.parent.mode in ['w', 'rw']:
+            data = self._format_cert(csr)
+            self.data = data
+
+            for hostname in [data['subject']['CN']] + data['extensions'].get('subjectAltName',[]):
+                if hostname not in self.parent['hostCert']:
+                    self.parent['hostCert'].append(unicode(hostname))
+
+        self.value = csr
+
@crans_attribute
 class certificat(Attr):
    ldap_name = "certificat"
@ -1567,20 +1610,6 @@ class certificat(Attr):
        super(certificat, self).__init__(*args, **kwargs)
        self.data = None

-    def _decode_subjectAltName(self, data):
-        from pyasn1.codec.der import decoder
-        from pyasn1_modules.rfc2459 import SubjectAltName
-        altName = []
-        sa_names = decoder.decode(data, asn1Spec=SubjectAltName())[0]
-        for name in sa_names:
-            name_type = name.getName()
-            if name_type == 'dNSName':
-                altName.append(unicode(name.getComponent()))
-# Cacert met des othername, du coup, on ignore juste
-#            else:
-#                raise ValueError("Seulement les dNSName sont supporté pour l'extension de certificat SubjectAltName (et pas %s)" % name_type)
-        return altName
-
    def _format_cert(self, certificat):
            import OpenSSL
            try:
@ -1593,20 +1622,7 @@ class certificat(Attr):
                    x509 = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_ASN1, certificat)
                except Exception:
                    raise ValueError("Format du certificat invalide, est-il bien au format DER ou PEM ?")
-            data = {}
-            data['subject'] = dict(x509.get_subject().get_components())
-            data['issuer'] = dict(x509.get_issuer().get_components())
-            data['start'] = int(time.mktime(time.strptime(x509.get_notBefore(), '%Y%m%d%H%M%SZ')))
-            data['end'] = int(time.mktime(time.strptime(x509.get_notAfter(), '%Y%m%d%H%M%SZ')))
-            data['serialNumber'] = unicode(int(x509.get_serial_number()))
-            data['extensions'] = {}
-            for i in range(0, x509.get_extension_count()):
-                ext = x509.get_extension(i)
-                ext_name = ext.get_short_name()
-                if ext_name == 'subjectAltName':
-                    data['extensions'][ext_name] = self._decode_subjectAltName(ext.get_data())
-                else:
-                    data['extensions'][ext_name] = str(ext)
+            data = fetch_cert_info(x509)
            return (certificat, data)

    def parse_value(self, certificat):