[attributs, crans_utils, objets] Ajout d'attributs encrypted, privatekey, csr et objectClass privateKey

On peut générer/ajouter des clefs privées via gest_crans_lc. Elles sont forcément chiffré avec une
passphrase. Pour les machines crans, elle est dans /etc/crans/secrets. Pour les autres machines
elle n'est pas connue du crans et demandée à l'utilisateur lorsqu'il y a besoin de la clef privée
pour des opérations.
Du coup, on peut générer des csr automatiquement dans gest_crans_lc, ça m'a l'air bien pratique,
ça évite d'oublier des subjectAltName par exemple quand on renouvel le certificat comme les
nom du certificat sont également dans ldap.
On peut aussi, juste avec une requête ldap voir quels sont les certificats qui vont bientôt
expirer (&(objectClass=x509Cert)(end<int(time.time())+delai)).

crans_utils.py

@@ -38,6 +38,7 @@ import smtplib
 import sys
 import os
 import base64
+import collections
 import hashlib
 import ldap.filter
 sys.path.append('/usr/scripts/gestion')
@@ -243,3 +244,51 @@ def hash_password(password, salt=None):
         raise ValueError("salt devrait faire au moins 8 octets")
         
     return '{SSHA}' + base64.b64encode(hashlib.sha1(password + salt).digest() + salt)
+
+def decode_subjectAltName(data):
+    from pyasn1.codec.der import decoder
+    from pyasn1_modules.rfc2459 import SubjectAltName
+    altName = []
+    sa_names = decoder.decode(data, asn1Spec=SubjectAltName())[0]
+    for name in sa_names:
+        name_type = name.getName()
+        if name_type == 'dNSName':
+            altName.append(unicode(name.getComponent()))
+# Cacert met des othername, du coup, on ignore juste
+#        else:
+#            raise ValueError("Seulement les dNSName sont supporté pour l'extension de certificat SubjectAltName (et pas %s)" % name_type)
+    return altName
+
+
+def fetch_cert_info(x509):
+        # Attention, pour les X509req, la vertion de openssl utilisé et celle du fichier /usr/scripts/lib/python2.7/site-packages/pyOpenSSL-0.14-py2.7.egg
+        # /usr/scripts/python.sh met le path comme il faut, sinon, il faudrait faire quelque chose comme :
+        # for file in os.listdir('/usr/scripts/lib/python2.7/site-packages/'):
+        #     if file.endswith(".egg"):
+        #         sys.path.insert(2, '/usr/scripts/lib/python2.7/site-packages/%s' % file)
+        # sys.path.insert(2, '/usr/scripts/lib/python2.7/site-packages/')
+        import OpenSSL
+        data = {}
+        data['subject'] = dict(x509.get_subject().get_components())
+        if isinstance(x509, OpenSSL.crypto.X509):
+            data['issuer'] = dict(x509.get_issuer().get_components())
+            data['start'] = int(time.mktime(time.strptime(x509.get_notBefore(), '%Y%m%d%H%M%SZ')))
+            data['end'] = int(time.mktime(time.strptime(x509.get_notAfter(), '%Y%m%d%H%M%SZ')))
+            data['serialNumber'] = unicode(int(x509.get_serial_number()))
+        data['extensions'] = collections.defaultdict(list)
+        def do_ext(data, ext):
+            ext_name = ext.get_short_name()
+            if ext_name == 'subjectAltName':
+                data['extensions'][ext_name] = decode_subjectAltName(ext.get_data())
+            elif ext_name == 'extendedKeyUsage':
+                data['extensions'][ext_name].append(str(ext))
+            else:
+                data['extensions'][ext_name] = str(ext)
+        if isinstance(x509, OpenSSL.crypto.X509):
+            for i in range(0, x509.get_extension_count()):
+                ext = x509.get_extension(i)
+                do_ext(data, ext)
+        else:
+            for ext in x509.get_extensions():
+                do_ext(data, ext)
+        return data