webinterface.git

1) <?php

2) /*
3) This file belongs to the Webinterface of schokokeks.org Hosting
4) 

5) Written by schokokeks.org Hosting, namely

6)   Bernd Wurst <bernd@schokokeks.org>
7)   Hanno Böck <hanno@schokokeks.org>
8) 

9) This code is published under a 0BSD license.

10) 
11) Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.
12) */

13) 
14) require_once('inc/base.php');

15) require_once('inc/security.php');

16) 
17) define("CERT_OK", 0);
18) define("CERT_INVALID", 1);
19) define("CERT_NOCHAIN", 2);
20) 
21) function user_certs()
22) {

23)     $uid = (int) $_SESSION['userinfo']['uid'];

24)     $result = db_query("SELECT id, valid_from, valid_until, subject, cn FROM vhosts.certs WHERE uid=? ORDER BY cn", [$uid]);
25)     $ret = [];

26)     while ($i = $result->fetch()) {
27)         $ret[] = $i;
28)     }
29)     #DEBUG($ret);
30)     return $ret;

31) }
32) 

33) function user_csr()
34) {

35)     $uid = (int) $_SESSION['userinfo']['uid'];

36)     $result = db_query("SELECT id, created, hostname, bits FROM vhosts.csr WHERE uid=? ORDER BY hostname", [$uid]);
37)     $ret = [];

38)     while ($i = $result->fetch()) {
39)         $ret[] = $i;
40)     }
41)     #DEBUG($ret);
42)     return $ret;

43) }

44) 

45) function user_has_manual_certs()
46) {

47)     foreach (user_certs() as $c) {
48)         if (!cert_is_letsencrypt($c['id'])) {
49)             return true;
50)         }
51)     }
52)     foreach (user_csr() as $c) {
53)         return true;

54)     }
55) }
56) 
57) 

58) function cert_details($id)
59) {

60)     $id = (int) $id;
61)     $uid = (int) $_SESSION['userinfo']['uid'];

62) 

63)     $result = db_query("SELECT id, lastchange, valid_from, valid_until, subject, cn, chain, cert, `key` FROM vhosts.certs WHERE uid=:uid AND id=:id", [":uid" => $uid, ":id" => $id]);

64)     if ($result->rowCount() != 1) {
65)         system_failure("Ungültiges Zertifikat #{$id}");
66)     }
67)     return $result->fetch();

68) }
69) 

70) function cert_is_letsencrypt($id)
71) {

72)     $details = cert_details($id);
73)     #DEBUG($details);
74)     if (strpos($details['subject'], "Let's Encrypt autogenerated") > 0) {
75)         return true;
76)     }
77)     return false;

78) }
79) 

80) 

81) function csr_details($id)
82) {

83)     $id = (int) $id;
84)     $uid = (int) $_SESSION['userinfo']['uid'];

85) 

86)     $result = db_query("SELECT id, created, hostname, bits, `replace`, csr, `key` FROM vhosts.csr WHERE uid=:uid AND id=:id", [":uid" => $uid, ":id" => $id]);

87)     if ($result->rowCount() != 1) {
88)         system_failure("Ungültiger CSR");
89)     }
90)     return $result->fetch();

91) }
92) 
93) 

94) function get_available_CAs()
95) {

96)     $path = '/etc/apache2/certs/cabundle/';

97)     $ret = glob($path . '*.pem');

98)     if (!$ret) {

99)         system_failure("Konnte die CA-Zertifikate nicht laden");
100)     }
101)     DEBUG($ret);
102)     return $ret;

103) }
104) 
105) 

106) function get_chain($cert)
107) {

108)     $certdata = openssl_x509_parse($cert, true);
109)     if ($certdata === false) {
110)         system_failure("Das Zertifikat konnte nicht gelesen werden");
111)     }

112)     if (!isset($certdata['issuer']['CN'])) {

113)         return null;
114)     }

115)     $result = db_query("SELECT id FROM vhosts.certchain WHERE cn=?", [$certdata['issuer']['CN']]);

116)     if ($result->rowCount() > 0) {
117)         $c = $result->fetch();
118)         //$chainfile = '/etc/apache2/certs/chains/'.$c['id'].'.pem';

119)         DEBUG("identified fitting certificate chain #" . $c['id']);

120)         return $c['id'];
121)     }

122) }
123) 
124) 

125) function validate_certificate($cert, $key)

126) {
127)     // Lade private key
128)     $seckey = openssl_get_privatekey($key);
129)     if ($seckey === false) {
130)         system_failure("Der private Schlüssel konnte (ohne Passwort) nicht gelesen werden.");
131)     }
132)     // Lade public key
133)     $pubkey = openssl_get_publickey($cert);
134)     if ($pubkey === false) {
135)         system_failure("In dem eingetragenen Zertifikat wurde kein öffentlicher Schlüssel gefunden.");
136)     }
137)     // Parse Details über den pubkey

138)     $pubkeyinfo = openssl_pkey_get_details($pubkey);
139)     DEBUG($pubkeyinfo);
140)     if ($pubkeyinfo === false) {

141)         system_failure("Der öffentliche Schlüssel des Zertifikats konnte nicht gelesen werden");
142)     }
143) 
144)     // Apache unterstützt nur Schlüssel vom Typ RSA oder DSA

145)     if ($pubkeyinfo['type'] !== OPENSSL_KEYTYPE_RSA) {

146)         system_failure("Dieser Schlüssel nutzt einen nicht unterstützten Algorithmus.");
147)     }

148) 

149)     // Bei ECC-Keys treten kürzere Schlüssellängen auf, die können wir aktuell aber sowieso nicht unterstützen

150)     // Wir blockieren zu kurze und zu lange Schlüssel hart, da Apache sonst nicht startet
151)     if ($pubkeyinfo['bits'] < 2048) {
152)         system_failure("Schlüssellänge ist zu kurz");
153)     }
154)     if ($pubkeyinfo['bits'] > 4096) {
155)         system_failure("Schlüssellänge ist zu lang");
156)     }
157) 
158)     $x509info = openssl_x509_parse($cert);
159)     if ($x509info === false) {
160)         system_failure("Zertifikat konnte nicht verarbeitet werden");
161)     }

162)     if (!in_array($x509info['signatureTypeSN'], ["RSA-SHA256", "RSA-SHA385", "RSA-SHA512"])) {

163)         system_failure("Nicht unterstützer Signatur-Hashalgorithmus!");

164)     }
165) 
166)     // Prüfe ob Key und Zertifikat zusammen passen
167)     if (openssl_x509_check_private_key($cert, $key) !== true) {

168)         DEBUG("Zertifikat und Key passen nicht zusammen: " . openssl_x509_check_private_key($cert, $key));

169)         return CERT_INVALID;
170)     }
171) 

172)     // Check von openssl_x509_check_private_key() ist leider nicht ausreichend
173)     $testdata = base64_encode(random_bytes(32));
174)     if (openssl_sign($testdata, $signature, $seckey) !== true) {
175)         system_failure("Kann keine Testsignatur erstellen, Key ungültig!");
176)     }
177)     if (openssl_verify($testdata, $signature, $pubkey) !== 1) {
178)         system_failure("Testsignatur ungültig, Key vermutlich fehlerhaft!");
179)     }
180) 

181)     $cacerts = ['/etc/ssl/certs'];

182)     $chain = (int) get_chain($cert);
183)     if ($chain) {

184)         $result = db_query("SELECT content FROM vhosts.certchain WHERE id=?", [$chain]);

185)         $tmp = $result->fetch();
186)         $chaincert = $tmp['content'];
187)         $chainfile = tempnam(sys_get_temp_dir(), 'webinterface');
188)         $f = fopen($chainfile, "w");
189)         fwrite($f, $chaincert);
190)         fclose($f);
191)         $cacerts[] = $chainfile;
192)     }
193) 
194)     $valid = openssl_x509_checkpurpose($cert, X509_PURPOSE_SSL_SERVER, $cacerts);
195)     if ($chain) {
196)         unlink($chainfile);
197)     }
198)     if ($valid !== true) {
199)         DEBUG('certificate was not validated as a server certificate with the available chain');
200)         return CERT_NOCHAIN;
201)     }
202) 
203)     return CERT_OK;

204) }
205) 
206) 
207) function parse_cert_details($cert)
208) {

209)     $certdata = openssl_x509_parse($cert, true);
210)     DEBUG($certdata);

211) 

212)     $issuer = $certdata['issuer']['CN'];
213)     if (isset($certdata['issuer']['O'])) {
214)         $issuer = $certdata['issuer']['O'];
215)     }

216)     if (isset($certdata['extensions']['subjectAltName'])) {

217)         DEBUG("SAN: " . $certdata['extensions']['subjectAltName']);

218)         $san = [];
219)         $raw_san = explode(', ', $certdata['extensions']['subjectAltName']);
220)         foreach ($raw_san as $name) {

221)             if (!substr($name, 0, 4) == 'DNS:') {

222)                 warning('Unparsable SAN: ' . $name);

223)                 continue;
224)             }
225)             $san[] = str_replace('DNS:', '', $name);

226)         }

227)         $san = implode("\n", $san);
228)     } else {
229)         $san = "\n";

230)     }

231)     DEBUG("SAN: <pre>" . $san . "</pre>");
232)     return ['subject' => $certdata['subject']['CN'] . ' / ' . $issuer, 'cn' => $certdata['subject']['CN'], 'valid_from' => date('Y-m-d', $certdata['validFrom_time_t']), 'valid_until' => date('Y-m-d', $certdata['validTo_time_t']), 'issuer' => $certdata['issuer']['CN'], 'san' => $san];

233) }
234) 
235) 
236) function save_cert($info, $cert, $key)
237) {

238)     openssl_pkey_export($key, $key);
239)     openssl_x509_export($cert, $cert);
240)     $uid = (int) $_SESSION['userinfo']['uid'];
241) 
242)     db_query(

243)         "INSERT INTO vhosts.certs (uid, subject, cn, san, valid_from, valid_until, chain, cert, `key`) VALUES (:uid, :subject, :cn, :san, :valid_from, :valid_until, :chain, :cert, :key)",

244)         [":uid" => $uid, ":subject" => filter_input_oneline($info['subject']), ":cn" => filter_input_oneline($info['cn']), ":san" => $info['san'], ":valid_from" => $info['valid_from'],

245)             ":valid_until" => $info['valid_until'], ":chain" => get_chain($cert), ":cert" => $cert, ":key" => $key, ]

246)     );

247) }
248) 

249) 

250) function refresh_cert($id, $info, $cert, $key = null)

251) {

252)     openssl_x509_export($cert, $cert);
253)     $chain = get_chain($cert);

254) 

255)     $id = (int) $id;
256)     $oldcert = cert_details($id);

257)     $args = [":subject" => filter_input_oneline($info['subject']),

258)         ":cn" => filter_input_oneline($info['cn']),
259)         ":san" => $info['san'],
260)         ":cert" => $cert,
261)         ":valid_from" => $info['valid_from'],
262)         ":valid_until" => $info['valid_until'],
263)         ":chain" => get_chain($cert),
264)         ":id" => $id, ];

265) 

266)     $keyop = '';
267)     if ($key) {
268)         openssl_pkey_export($key, $key);
269)         $keyop = ", `key`=:key";
270)         $args[":key"] = $key;
271)     }
272)     db_query("UPDATE vhosts.certs SET subject=:subject, cn=:cn, san=:san, cert=:cert{$keyop}, valid_from=:valid_from, valid_until=:valid_until, chain=:chain WHERE id=:id", $args);

273) }
274) 
275) 

276) function delete_cert($id)
277) {

278)     $uid = (int) $_SESSION['userinfo']['uid'];
279)     $id = (int) $id;

280) 

281)     db_query("DELETE FROM vhosts.certs WHERE uid=? AND id=?", [$uid, $id]);

282) }
283) 

284) function delete_csr($id)
285) {

286)     $uid = (int) $_SESSION['userinfo']['uid'];
287)     $id = (int) $id;

288) 

289)     db_query("DELETE FROM vhosts.csr WHERE uid=? AND id=?", [$uid, $id]);

290) }
291) 
292) 

293) function split_cn($cn)
294) {

295)     $domains = [];

296)     if (strstr($cn, ',') or strstr($cn, "\n")) {
297)         $domains = preg_split("/[, \n]+/", $cn);
298)         DEBUG("Domains:");
299)         DEBUG($domains);
300)     } else {
301)         $domains[] = $cn;
302)     }

303)     for ($i = 0;$i != count($domains);$i++) {

304)         $domains[$i] = filter_input_hostname($domains[$i], true);
305)     }
306)     return $domains;

307) }
308) 

309) function create_csr($cn, $bits)
310) {

311)     $domains = split_cn($cn);

312)     $tmp = [];

313)     foreach ($domains as $dom) {

314)         $tmp[] = 'DNS:' . $dom;

315)     }

316)     $SAN = "[ v3_req ]\nsubjectAltName = " . implode(', ', $tmp);

317)     DEBUG($SAN);
318)     $cn = $domains[0];
319)     $bits = (int) $bits;
320)     if ($bits == 0) {
321)         $bits = 4096;
322)     }
323) 
324)     $keyfile = tempnam(ini_get('upload_tmp_dir'), 'key');
325)     $csrfile = tempnam(ini_get('upload_tmp_dir'), 'csr');
326)     $config = tempnam(ini_get('upload_tmp_dir'), 'config');
327) 

328)     DEBUG("key: " . $keyfile . " / csr: " . $csrfile . " / config: " . $config);

329) 
330)     $c = fopen($config, "w");
331)     fwrite($c, "[req]

332) default_bits = {$bits}
333) default_keyfile = {$keyfile}
334) encrypt_key = no
335) distinguished_name      = req_distinguished_name

336) req_extensions = v3_req

337) 
338) [ req_distinguished_name ]
339) countryName                     = Country Name (2 letter code)

340) countryName_default             = 

341) stateOrProvinceName             = State or Province Name (full name)

342) stateOrProvinceName_default     = 

343) localityName                    = Locality Name (eg, city)

344) localityName_default            = 

345) 0.organizationName              = Organization Name (eg, company)

346) 0.organizationName_default      = 

347) 
348) commonName = Common Name
349) commonName_default = {$cn}

350) {$SAN}

351) ");

352)     fclose($c);
353) 
354)     $output = '';
355)     $cmdline = "openssl req -sha256 -new -batch -config {$config} -out {$csrfile}";
356)     $retval = 0;
357)     exec($cmdline, $output, $retval);
358)     DEBUG($output);
359)     DEBUG($retval);
360)     if ($retval != 0) {

361)         system_failure("Die Erzeugung des CSR ist fehlgeschlagen. Ausgabe des OpenSSL-Befehls: " . print_r($output, true));

362)     }

363) 

364)     $csr = file_get_contents($csrfile);
365)     $key = file_get_contents($keyfile);

366) 

367)     unlink($csrfile);
368)     unlink($keyfile);
369)     unlink($config);

370) 

371)     return [$csr, $key];

372) }
373) 
374) 
375) 

376) function save_csr($cn, $bits, $replace = null)

377) {

378)     if (!$cn) {

379)         system_failure("Sie müssen einen Domainname eingeben!");
380)     }
381)     $domains = split_cn($cn);
382)     $cn = $domains[0];
383)     $san = implode("\n", $domains);
384)     $csr = null;
385)     $key = null;

386)     [$csr, $key] = create_csr(implode(',', $domains), $bits);

387) 

388)     $uid = (int) $_SESSION['userinfo']['uid'];
389)     db_query(

390)         "INSERT INTO vhosts.csr (uid, hostname, san, bits, `replace`, csr, `key`) VALUES (:uid, :cn, :san, :bits, :replace, :csr, :key)",

391)         [":uid" => $uid, ":cn" => $cn, ":san" => $san, ":bits" => $bits,

392)             ":replace" => $replace, ":csr" => $csr, ":key" => $key, ]

393)     );

394)     $id = db_insert_id();
395)     return $id;