webinterface.git

@@ -169,7 +169,6 @@ function encode_querystring($querystring)

     $querystring = 'debug&'.$querystring;

   DEBUG($querystring);

   $query = explode('&', $querystring);

-  DEBUG($query);

   $new_query = array();

   foreach ($query AS $item)

     if ($item != '')

@@ -180,7 +179,6 @@ function encode_querystring($querystring)

       else

         $new_query[] = $key.'='.urlencode($val);

     }

-  DEBUG($new_query);

   $querystring = implode('&', $new_query);

   if ($querystring)

     $querystring = '?'.$querystring;

@@ -0,0 +1,39 @@

+<?php

+

+require_once("certs.php");

+require_role(ROLE_SYSTEMUSER);

+

+$title = "SSL-Zertifikate";

+

+output('<h3>SSL-Zertifikate</h3>

+<p>Bei schokokeks.org können Sie Ihre eigenen SSL-Zertifikate nutzen. Wir verwenden dafür (wenn nicht anders vereinbart) die <a href="https://wiki.schokokeks.org/SNI">SNI-Technik</a>.</p>

+<p>Das Verfahren ist bei uns folgendermaßen implementiert: Sie können hier eines oder mehrere SSL-Zertifikate hochladen, die Sie vorher extern erzeugt haben. Beim Anlegen von Webserver-Konfigurationen können Sie dann eines Ihrer Zertifikate für jede Konfiguration auswählen.</p>

+

+<h4>Ihre bisher vorhandenen Zertifikate</h4>

+');

+

+$certs = user_certs();

+

+if (count($certs) > 0)

+{

+  output("<table><tr><th>Name/Details</th><th>CommonName</th><th>Gültig ab</th><th>Gültig bis</th><th>&#160;</th></tr>");

+  foreach ($certs as $c)

+  {

+    output("<tr><td>{$c['subject']}</td><td>{$c['cn']}</td><td>{$c['valid_from']}</td><td>{$c['valid_until']}</td><td>".internal_link('savecert', '<img src="'.$prefix.'images/delete.png" />', 'action=delete&id='.$c['id'])."</td></tr>");

+  } 

+  output("</table>");

+}

+else

+{

+  output('<p><em>Bisher haben Sie keine Zertifikate eingetragen</em></p>');

+}

+

+output('<p>'.internal_link('newcert', 'Neues Zertifikat hinzufügen').'</p>');

+

+

+

+

+

+

+

+

@@ -4,6 +4,7 @@ require_once('inc/debug.php');

 require_once('inc/security.php');

 require_once('vhosts.php');

+require_once('certs.php');

 $title = "Subdomain bearbeiten";

 $section = 'vhosts_vhosts';

@@ -192,7 +193,7 @@ $form .= "

 <br />

 </div>

-<h4 style=\"margin-top: 3em;\">Allgemeine Optionen</h4>

+<h4 style=\"clear: right; margin-top: 3em;\">Allgemeine Optionen</h4>

 <div style=\"margin-left: 2em;\">

     <h5>SSL-Verschlüsselung</h5>

     <div style=\"margin-left: 2em;\">

@@ -215,6 +216,46 @@ $form .= "

 </div>

     ";

+$ipaddrs = user_ipaddrs();

+$certs = user_certs();

+

+if (count($ipaddrs) || count($certs))

+{

+  $form .= "

+<h4 style=\"margin-top: 3em;\">Erweiterte Optionen</h4>

+<div style=\"margin-left: 2em;\">

+";

+  if (count($certs))

+  {

+    $certselect = array(0 => 'kein Zertifikat / System-Standard benutzen');

+    foreach ($certs as $c)

+    {

+      $certselect[$c['id']] = $c['subject'];

+    }

+    $form .= "

+      <h5>verwendetes SSL-Zertifikat</h5>

+      <div style=\"margin-left: 2em;\">

+      ".html_select('cert', $certselect, $vhost['certid'])."

+      </div>";

+  }

+ /* if (count($ipaddrs))

+  {

+    $ipselect = array(0 => 'System-Standard');

+    foreach ($ipaddrs AS $i)

+    {

+      $ipselect[$i] = $i;

+    }

+    $form .= "

+      <h5>IP-Adresse</h5>

+      <div style=\"margin-left: 2em;\">

+      ".html_select('ipaddr', $ipselect, $vhost['ipaddr'])."

+      </div>";

+  } */

+  $form .= "</div>";

+}

+

+

+

 $form .= '

   <p><input type="submit" value="Speichern" />&#160;&#160;&#160;&#160;'.internal_link('vhosts', 'Abbrechen').'</p>

   <p class="warning"><span class="warning">*</span>Es ist im Moment fraglich, ob die Speicherung von Logfiles mit IP-Adressen auf Webservern

@@ -0,0 +1,100 @@

+<?php

+

+require_once('inc/base.php');

+

+define("CERT_OK", 0);

+define("CERT_INVALID", 1);

+define("CERT_NOCHAIN", 2);

+

+function user_certs()

+{

+  $uid = (int) $_SESSION['userinfo']['uid'];

+  $result = db_query("SELECT id, valid_from, valid_until, subject, cn FROM vhosts.certs WHERE uid=${uid}");

+  $ret = array();

+  while ($i = mysql_fetch_assoc($result))

+    $ret[] = $i;

+  DEBUG($ret);

+  return $ret;

+}

+

+

+function cert_details($id)

+{

+  $id = (int) $id;

+  $uid = (int) $_SESSION['userinfo']['uid'];

+  

+  $result = db_query("SELECT id, lastchange, valid_from, valid_until, subject, cn, cert, `key`, cabundle FROM vhosts.certs WHERE uid={$uid} AND id={$id}");

+  if (mysql_num_rows($result) != 1)

+    system_failure("Ungültiges Zertifikat");

+  return mysql_fetch_assoc($result);

+}

+

+

+function get_available_CAs()

+{

+  $path = '/etc/apache2/certs/cabundle/';

+  $ret = glob($path.'*.pem');

+  if (! $ret)

+    system_failure("Konnte die CA-Zertifikate nicht laden");

+  DEBUG($ret);

+  return $ret;

+}

+

+

+function validate_certificate($cert, $key)

+{  

+  if (openssl_x509_check_private_key($cert, $key) !== true)

+  {

+    DEBUG("Zertifikat und Key passen nicht zusammen");

+    return CERT_INVALID;

+  }

+

+  $cacerts = get_available_CAs();

+

+  if (openssl_x509_checkpurpose($cert, X509_PURPOSE_SSL_SERVER, $cacerts) !== true)

+  { 

+    DEBUG('certificate was not validated as a server certificate with the available chain');

+    return CERT_NOCHAIN;

+  }

+

+  return CERT_OK;

+}

+

+

+function parse_cert_details($cert)

+{

+  $certdata = openssl_x509_parse($cert, true);

+  /* 

+name => /CN=*.bwurst.org

+validFrom_time_t => 1204118790

+validTo_time_t => 1267190790

+

+

+  */

+ 

+  return array('subject' => $certdata['name'], 'cn' => $certdata['subject']['CN'], 'valid_from' => date('Y-m-d', $certdata['validFrom_time_t']), 'valid_until' => date('Y-m-d', $certdata['validTo_time_t']));

+}

+

+

+function save_cert($info, $cert, $key)

+{

+  $subject = mysql_real_escape_string(filter_input_general($info['subject']));

+  $cn = mysql_real_escape_string(filter_input_general($info['cn']));

+  $valid_from = mysql_real_escape_string($info['valid_from']);

+  $valid_until = mysql_real_escape_string($info['valid_until']);

+  $cert = mysql_real_escape_string($cert);

+  $key = mysql_real_escape_string($key);

+  $uid = (int) $_SESSION['userinfo']['uid'];

+

+  db_query("INSERT INTO vhosts.certs (uid, subject, cn, valid_from, valid_until, cert, `key`) VALUES ({$uid}, '{$subject}', '{$cn}', '{$valid_from}', '{$valid_until}', '{$cert}', '{$key}')");

+}

+

+

+function delete_cert($id)

+{

+  $uid = (int) $_SESSION['userinfo']['uid'];

+  $id = (int) $id;

+  

+  db_query("DELETE FROM vhosts.certs WHERE uid={$uid} AND id={$id} LIMIT 1");

+}

+

@@ -6,11 +6,13 @@ require_once("inc/security.php");

 require_once('class/domain.php');

+require_once("certs.php");

+

 function list_vhosts()

 {

   $uid = (int) $_SESSION['userinfo']['uid'];

-  $result = db_query("SELECT vh.id,fqdn,docroot,docroot_is_default,php,vh.options,logtype,errorlog,IF(dav.id IS NULL OR dav.type='svn', 0, 1) AS is_dav,IF(dav.id IS NULL OR dav.type='dav', 0, 1) AS is_svn, IF(webapps.id IS NULL, 0, 1) AS is_webapp FROM vhosts.v_vhost AS vh LEFT JOIN vhosts.dav ON (dav.vhost=vh.id) LEFT JOIN vhosts.webapps ON (webapps.vhost = vh.id) WHERE uid={$uid} ORDER BY domain,hostname");

+  $result = db_query("SELECT vh.id,fqdn,docroot,docroot_is_default,php,vh.certid AS cert, vh.ssl, vh.options,logtype,errorlog,IF(dav.id IS NULL OR dav.type='svn', 0, 1) AS is_dav,IF(dav.id IS NULL OR dav.type='dav', 0, 1) AS is_svn, IF(webapps.id IS NULL, 0, 1) AS is_webapp FROM vhosts.v_vhost AS vh LEFT JOIN vhosts.dav ON (dav.vhost=vh.id) LEFT JOIN vhosts.webapps ON (webapps.vhost = vh.id) WHERE uid={$uid} ORDER BY domain,hostname");

   $ret = array();

   while ($item = mysql_fetch_assoc($result))

     array_push($ret, $item);

@@ -33,7 +34,9 @@ function empty_vhost()

   $vhost['is_dav'] = 0;

   $vhost['is_svn'] = 0;

   $vhost['is_webapp'] = 0;

-  $vhsot['webapp_id'] = NULL;

+  $vhost['webapp_id'] = NULL;

+  

+  $vhost['cert'] = NULL;

   $vhost['options'] = '';

   return $vhost;

@@ -82,7 +85,9 @@ function get_vhost_details($id)

   if (mysql_num_rows($result) != 1)

     system_failure('Interner Fehler beim Auslesen der Daten');

-  return mysql_fetch_assoc($result);

+  $ret = mysql_fetch_assoc($result);

+  DEBUG($ret);

+  return $ret;

 }

@@ -207,13 +212,22 @@ function save_vhost($vhost)

   }

   $options = mysql_real_escape_string( $vhost['options'] );

+  $cert = 0;

+  $certs = user_certs();

+  foreach ($certs as $c)

+    if ($c['id'] == $vhost['cert'])

+      $cert = $c['id'];

+

+  if ($cert == 0)

+    $cert = 'NULL';

+

   if ($id != 0) {

     logger('modules/vhosts/include/vhosts', 'vhosts', 'Updating vhost #'.$id.' ('.$vhost['hostname'].'.'.$vhost['domain'].')');

-    db_query("UPDATE vhosts.vhost SET hostname={$hostname}, domain={$domain}, docroot={$docroot}, php={$php}, `ssl`={$ssl}, logtype={$logtype}, errorlog={$errorlog}, options='{$options}' WHERE id={$id} LIMIT 1");

+    db_query("UPDATE vhosts.vhost SET hostname={$hostname}, domain={$domain}, docroot={$docroot}, php={$php}, `ssl`={$ssl}, logtype={$logtype}, errorlog={$errorlog}, certid={$cert}, options='{$options}' WHERE id={$id} LIMIT 1");

   }

   else {

     logger('modules/vhosts/include/vhosts', 'vhosts', 'Creating vhost '.$vhost['hostname'].'.'.$vhost['domain'].'');

-    $result = db_query("INSERT INTO vhosts.vhost (user, hostname, domain, docroot, php, `ssl`, logtype, errorlog, options) VALUES ({$_SESSION['userinfo']['uid']}, {$hostname}, {$domain}, {$docroot}, {$php}, {$ssl}, {$logtype}, {$errorlog}, '{$options}')");

+    $result = db_query("INSERT INTO vhosts.vhost (user, hostname, domain, docroot, php, `ssl`, logtype, errorlog, certid, options) VALUES ({$_SESSION['userinfo']['uid']}, {$hostname}, {$domain}, {$docroot}, {$php}, {$ssl}, {$logtype}, {$errorlog}, {$cert}, '{$options}')");

     $id = mysql_insert_id();

   }

   $oldvhost = get_vhost_details($id);

@@ -288,4 +302,19 @@ function save_alias($alias)

+

+function user_ipaddrs()

+{

+  $uid = (int) $_SESSION['userinfo']['uid'];

+  $result = db_query("SELECT ipaddr FROM vhosts.ipaddr_available WHERE uid={$uid}");

+  $ret = array();

+  while ($i = mysql_fetch_assoc($result))

+  {

+    $ret[] = $i['ipaddr'];

+  }

+  DEBUG($ret);

+  return $ret;

+}

+

+

 ?>

@@ -5,6 +5,7 @@ $role = $_SESSION['role'];

 if ($role & ROLE_SYSTEMUSER)

 {

     $menu["vhosts_vhosts"] = array("label" => "Webserver", "file" => "vhosts", "weight" => 1);

+    $menu["vhosts_certs"] = array("label" => "SSL-Zertifikate", "file" => "certs", "weight" => 10, "submenu" => "vhosts_vhosts");

 }

 ?>

@@ -0,0 +1,31 @@

+<?php

+

+include_once('certs.php');

+require_role(ROLE_SYSTEMUSER);

+

+$section = 'vhosts_certs';

+

+$title = 'Neues Server-Zertifikat hinzufügen';

+

+

+output('<h3>Neues Server-Zertifikat hinzufügen</h3>

+<p>Sie können Ihr eigenes SSL-Zertifikat hinterlegen, das Sie dann für eine oder mehrere Webserver-Konfigurationen verwenden können.</p>

+<p>Sie benötigen dazu mindestens ein <strong>Zertifikat</strong> und einen <strong>privaten Schlüssel</strong> (ohne Passwort!). Alle Daten müssen im <strong>PEM-Format</strong> vorliegen, also in etwa die Form</p>

+<pre>-----BEGIN CERTIFICATE-----

+...

+-----END CERTIFICATE-----</pre>

+<p>aufweisen. Sind die genannten Vorausetzungen erfüllt, können Sie Ihre Zertifikats-Daten einfach in untenstehendes Formular eingeben.</p>');

+

+

+$form = '

+<h4>Server-Zertifikat:</h4>

+<p><textarea name="cert" rows="10" cols="70"></textarea></p>

+

+<h4>privater Schlüssel:</h4>

+<p><textarea name="key" rows="10" cols="70"></textarea></p>

+

+<p><input type="submit" value="Speichern" /></p>

+

+';

+

+output(html_form('vhosts_certs_new', 'savecert', 'action=new', $form));

@@ -101,6 +101,8 @@ if ($_GET['action'] == 'edit')

     /* Wenn etwas anderes kommt, ist das "beides". So einfach ist das. */

   }

+  $cert = (int) $_POST['cert'];

+

   $logtype = '';

   switch ($_POST['logtype']) {

     case 'anonymous':

@@ -138,6 +140,7 @@ if ($_GET['action'] == 'edit')

   $vhost['docroot'] = $docroot;

   $vhost['php'] = $php;

   $vhost['ssl'] = $ssl;

+  $vhost['cert'] = $cert;

   $vhost['logtype'] = $logtype;

   $vhost['errorlog'] = $errorlog; 

   $vhost['options'] = $options;

@@ -0,0 +1,63 @@

+<?php

+

+require_once("certs.php");

+require_role(ROLE_SYSTEMUSER);

+

+$section = 'vhosts_certs';

+

+if ($_GET['action'] == 'new')

+{

+  check_form_token('vhosts_certs_new');

+  $cert = $_POST['cert'];

+  $key = $_POST['key'];

+  if (! $cert or ! $key)

+    system_failure('Es muss ein Zertifikat und der dazu passende private Schlüssel eingetragen werden');

+

+  $result = validate_certificate($cert, $key);

+  switch ($result)

+  {

+    case CERT_OK:

+      $certinfo = parse_cert_details($cert);

+      save_cert($certinfo, $cert, $key, $cabundle);

+      header('Location: certs');

+      die();

+      break;

+    case CERT_INVALID:

+      system_failure("Das Zertifikat konnte nicht gelesen werden. Eventuell ist der private Schlüssel mit einem Paswort versehen?");

+      break;

+    case CERT_NOCHAIN:

+      warning('Ihr Zertifikat konnte nicht mit einer Zertifikats-Kette validiert werden. Dies wird zu Problemen beim Betrachten der damit betriebenen Websites führen. Meist liegt dies an einem nicht hinterlegten CA-Bundle. Die Admins können Ihr Zertifikats-Bundle auf dem System eintragen. Das Zertifikat wurde dennoch gespeichert.');

+      $certinfo = parse_cert_details($cert);

+      save_cert($certinfo, $cert, $key, $cabundle);

+      output('<p>'.internal_link('certs', 'Zurück zur Übersicht').'</p>');

+      break;

+  }

+

+}

+elseif ($_GET['action'] == 'delete')

+{

+  $cert = cert_details($_GET['id']);

+  $sure = user_is_sure();

+  if ($sure === NULL)

+  {

+    are_you_sure("action=delete&id={$cert['id']}", "Soll das Zertifikat für »{$cert['subject']}« (gültig von {$cert['valid_from']} bis {$cert['valid_until']}) wirklich entfernt werden?");

+  }

+  elseif ($sure === false)

+  {

+    header('Location: certs');

+    die();

+  }

+  elseif ($sure === true)

+  { 

+    delete_cert($cert['id']);

+    header('Location: certs');

+    die();

+  }

+}

+else

+{

+  system_failure('not implemented');

+}

+

+

+

@@ -21,7 +21,7 @@ $vhosts = list_vhosts();

 if (count($vhosts) > 0)

 {

-  output("<table><tr><th>(Sub-)Domain</th><th></th><th>Zusätzliche Alias-Namen</th><th>Protokoll</th><th>PHP</th><th>Lokaler Pfad<sup>*</sup></th></tr>\n");

+  output("<table><tr><th>(Sub-)Domain</th><th></th><th>Zusätzliche Alias-Namen</th><th>Protokoll</th><th>SSL</th><th>PHP</th><th>Lokaler Pfad<sup>*</sup></th></tr>\n");

   $even = True;

@@ -58,6 +58,20 @@ if (count($vhosts) > 0)

         $logfiles .= ' und Fehler';

     }

     output("<td>{$logfiles}</td>");

+  

+    if ($vhost['ssl'] == 'http')

+    {

+      output("<td><img src=\"{$prefix}images/error.png\" style=\"height: 18px; width: 18px;\" alt=\"aus\" title=\"SSL ausgeschaltet\" /></td>");

+    }

+    elseif ($vhost['cert'])

+    {

+      output("<td><img src=\"{$prefix}images/secure.png\" style=\"height: 16px; width: 16px;\" alt=\"cert\" title=\"SSL mit eigenem Zertifikat\" /></td>");

+    }

+    else

+    {

+      output("<td><img src=\"{$prefix}images/ok.png\" style=\"height: 17px; width: 17px;\" alt=\"ein\" title=\"SSL eingeschaltet\" /></td>");

+    }

+

     if ($vhost['is_webapp'] == 1) {

       output('<td colspan="2"><em><strong>Sonderanwendung:</strong> Vorinstallierte Webanwendung</em></td>');

     }