开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 数据库系统 > MySQL数据库 > 查看源码
viosslfactories.c
资源名称:mysql-4.1.16-win-src.zip [点击查看]
上传用户:romrleung
上传日期:2022-05-23
资源大小:18897k
文件大小:11k
源码类别:

MySQL数据库

开发平台:

Visual C++

viosslfactories.c:源码内容
  1. /* Copyright (C) 2000 MySQL AB
  3.    This program is free software; you can redistribute it and/or modify
  4.    it under the terms of the GNU General Public License as published by
  5.    the Free Software Foundation; either version 2 of the License, or
  6.    (at your option) any later version.
  8.    This program is distributed in the hope that it will be useful,
  9.    but WITHOUT ANY WARRANTY; without even the implied warranty of
  10.    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  11.    GNU General Public License for more details.
  13.    You should have received a copy of the GNU General Public License
  14.    along with this program; if not, write to the Free Software
  15.    Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA */
  17. #include "vio_priv.h"
  19. #ifdef HAVE_OPENSSL
  21. static bool     ssl_algorithms_added    = FALSE;
  22. static bool     ssl_error_strings_loaded= FALSE;
  23. static int      verify_depth = 0;
  24. static int      verify_error = X509_V_OK;
  26. static unsigned char dh512_p[]=
  27. {
  28.   0xDA,0x58,0x3C,0x16,0xD9,0x85,0x22,0x89,0xD0,0xE4,0xAF,0x75,
  29.   0x6F,0x4C,0xCA,0x92,0xDD,0x4B,0xE5,0x33,0xB8,0x04,0xFB,0x0F,
  30.   0xED,0x94,0xEF,0x9C,0x8A,0x44,0x03,0xED,0x57,0x46,0x50,0xD3,
  31.   0x69,0x99,0xDB,0x29,0xD7,0x76,0x27,0x6B,0xA2,0xD3,0xD4,0x12,
  32.   0xE2,0x18,0xF4,0xDD,0x1E,0x08,0x4C,0xF6,0xD8,0x00,0x3E,0x7C,
  33.   0x47,0x74,0xE8,0x33,
  34. };
  36. static unsigned char dh512_g[]={
  37.   0x02,
  38. };
  40. static DH *get_dh512(void)
  41. {
  42.   DH *dh;
  43.   if ((dh=DH_new()))
  44.   {
  45.     dh->p=BN_bin2bn(dh512_p,sizeof(dh512_p),NULL);
  46.     dh->g=BN_bin2bn(dh512_g,sizeof(dh512_g),NULL);
  47.     if (! dh->p || ! dh->g)
  48.     {
  49.       DH_free(dh);
  50.       dh=0;
  51.     }
  52.   }
  53.   return(dh);
  54. }
  57. static void
  58. report_errors()
  59. {
  60.   unsigned long l;
  61.   const char* file;
  62.   const char* data;
  63.   int line,flags;
  65.   DBUG_ENTER("report_errors");
  67.   while ((l=ERR_get_error_line_data(&file,&line,&data,&flags)) != 0)
  68.   {
  69. #ifndef DBUG_OFF /* Avoid warning */
  70.     char buf[200];
  71.     DBUG_PRINT("error", ("OpenSSL: %s:%s:%d:%sn", ERR_error_string(l,buf),
  72.  file,line,(flags & ERR_TXT_STRING) ? data : "")) ;
  73. #endif
  74.   }
  75.   DBUG_VOID_RETURN;
  76. }
  79. static int
  80. vio_set_cert_stuff(SSL_CTX *ctx, const char *cert_file, const char *key_file)
  81. {
  82.   DBUG_ENTER("vio_set_cert_stuff");
  83.   DBUG_PRINT("enter", ("ctx=%p, cert_file=%s, key_file=%s",
  84.        ctx, cert_file, key_file));
  85.   if (cert_file != NULL)
  86.   {
  87.     if (SSL_CTX_use_certificate_file(ctx,cert_file,SSL_FILETYPE_PEM) <= 0)
  88.     {
  89.       DBUG_PRINT("error",("unable to get certificate from '%s'n",cert_file));
  90.       /* FIX stderr */
  91.       fprintf(stderr,"Error when connection to server using SSL:");
  92.       ERR_print_errors_fp(stderr);
  93.       fprintf(stderr,"Unable to get certificate from '%s'n", cert_file);
  94.       fflush(stderr);
  95.       DBUG_RETURN(0);
  96.     }
  97.     if (key_file == NULL)
  98.       key_file = cert_file;
  99.     if (SSL_CTX_use_PrivateKey_file(ctx,key_file,
  100.     SSL_FILETYPE_PEM) <= 0)
  101.     {
  102.       DBUG_PRINT("error", ("unable to get private key from '%s'n",key_file));
  103.       /* FIX stderr */
  104.       fprintf(stderr,"Error when connection to server using SSL:");
  105.       ERR_print_errors_fp(stderr);
  106.       fprintf(stderr,"Unable to get private key from '%s'n", cert_file);
  107.       fflush(stderr);      
  108.       DBUG_RETURN(0);
  109.     }
  111.     /*
  112.       If we are using DSA, we can copy the parameters from the private key
  113.       Now we know that a key and cert have been set against the SSL context
  114.     */
  115.     if (!SSL_CTX_check_private_key(ctx))
  116.     {
  117.       DBUG_PRINT("error",
  118.  ("Private key does not match the certificate public keyn"));
  119.       DBUG_RETURN(0);
  120.     }
  121.   }
  122.   DBUG_RETURN(1);
  123. }
  126. static int
  127. vio_verify_callback(int ok, X509_STORE_CTX *ctx)
  128. {
  129.   char buf[256];
  130.   X509* err_cert;
  131.   int err,depth;
  133.   DBUG_ENTER("vio_verify_callback");
  134.   DBUG_PRINT("enter", ("ok=%d, ctx=%p", ok, ctx));
  135.   err_cert=X509_STORE_CTX_get_current_cert(ctx);
  136.   err=    X509_STORE_CTX_get_error(ctx);
  137.   depth=   X509_STORE_CTX_get_error_depth(ctx);
  139.   X509_NAME_oneline(X509_get_subject_name(err_cert),buf,sizeof(buf));
  140.   if (!ok)
  141.   {
  142.     DBUG_PRINT("error",("verify error: num: %d : '%s'n",err,
  143. X509_verify_cert_error_string(err)));
  144.     if (verify_depth >= depth)
  145.     {
  146.       ok=1;
  147.       verify_error=X509_V_OK;
  148.     }
  149.     else
  150.     {
  151.       verify_error=X509_V_ERR_CERT_CHAIN_TOO_LONG;
  152.     }
  153.   }
  154.   switch (ctx->error) {
  155.   case X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT:
  156.     X509_NAME_oneline(X509_get_issuer_name(ctx->current_cert),buf,256);
  157.     DBUG_PRINT("info",("issuer= %sn",buf));
  158.     break;
  159.   case X509_V_ERR_CERT_NOT_YET_VALID:
  160.   case X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD:
  161.     DBUG_PRINT("error", ("notBefore"));
  162.     /*ASN1_TIME_print_fp(stderr,X509_get_notBefore(ctx->current_cert));*/
  163.     break;
  164.   case X509_V_ERR_CERT_HAS_EXPIRED:
  165.   case X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD:
  166.     DBUG_PRINT("error", ("notAfter error"));
  167.     /*ASN1_TIME_print_fp(stderr,X509_get_notAfter(ctx->current_cert));*/
  168.     break;
  169.   }
  170.   DBUG_PRINT("exit", ("%d", ok));
  171.   DBUG_RETURN(ok);
  172. }
  175. #ifdef __NETWARE__
  177. /* NetWare SSL cleanup */
  178. void netware_ssl_cleanup()
  179. {
  180.   /* free memory from SSL_library_init() */
  181.   EVP_cleanup();
  183.   /* free global X509 method */
  184.   X509_STORE_method_cleanup();
  186.   /* free the thread_hash error table */
  187.   ERR_free_state_table();
  188. }
  191. /* NetWare SSL initialization */
  192. static void netware_ssl_init()
  193. {
  194.   /* cleanup OpenSSL library */
  195.   NXVmRegisterExitHandler(netware_ssl_cleanup, NULL);
  196. }
  198. #endif /* __NETWARE__ */
  201. /************************ VioSSLConnectorFd **********************************/
  202. /*
  203.   TODO:
  204.        Add option --verify to mysql to be able to change verification mode
  205. */
  207. struct st_VioSSLConnectorFd *
  208. new_VioSSLConnectorFd(const char* key_file,
  209.       const char* cert_file,
  210.       const char* ca_file,
  211.       const char* ca_path,
  212.       const char* cipher)
  213. {
  214.   int verify = SSL_VERIFY_NONE;
  215.   struct st_VioSSLConnectorFd* ptr;
  216.   int result;
  217.   DH *dh;
  218.   DBUG_ENTER("new_VioSSLConnectorFd");
  219.   DBUG_PRINT("enter",
  220.      ("key_file=%s, cert_file=%s, ca_path=%s, ca_file=%s, cipher=%s",
  221.       key_file, cert_file, ca_path, ca_file, cipher));
  223.   if (!(ptr=((struct st_VioSSLConnectorFd*)
  224.      my_malloc(sizeof(struct st_VioSSLConnectorFd),MYF(0)))))
  225.     DBUG_RETURN(0);
  227.   ptr->ssl_context= 0;
  228.   ptr->ssl_method=  0;
  229.   /* FIXME: constants! */
  231.   if (!ssl_algorithms_added)
  232.   {
  233.     DBUG_PRINT("info", ("todo: OpenSSL_add_all_algorithms()"));
  234.     ssl_algorithms_added = TRUE;
  235.     SSL_library_init();
  236.     OpenSSL_add_all_algorithms();
  237.   }
  238. #ifdef __NETWARE__
  239.   netware_ssl_init();
  240. #endif
  242.   if (!ssl_error_strings_loaded)
  243.   {
  244.     DBUG_PRINT("info", ("todo:SSL_load_error_strings()"));
  245.     ssl_error_strings_loaded = TRUE;
  246.     SSL_load_error_strings();
  247.   }
  248.   ptr->ssl_method = TLSv1_client_method();
  249.   ptr->ssl_context = SSL_CTX_new(ptr->ssl_method);
  250.   DBUG_PRINT("info", ("ssl_context: %p",ptr->ssl_context));
  251.   if (ptr->ssl_context == 0)
  252.   {
  253.     DBUG_PRINT("error", ("SSL_CTX_new failed"));
  254.     report_errors();
  255.     goto ctor_failure;
  256.   }
  257.   /*
  258.     SSL_CTX_set_options
  259.     SSL_CTX_set_info_callback
  260.    */
  261.   if (cipher)
  262.   {
  263.     result=SSL_CTX_set_cipher_list(ptr->ssl_context, cipher);
  264.     DBUG_PRINT("info",("SSL_set_cipher_list() returned %d",result));
  265.   }
  266.   SSL_CTX_set_verify(ptr->ssl_context, verify, vio_verify_callback);
  267.   if (vio_set_cert_stuff(ptr->ssl_context, cert_file, key_file) == -1)
  268.   {
  269.     DBUG_PRINT("error", ("vio_set_cert_stuff failed"));
  270.     report_errors();
  271.     goto ctor_failure;
  272.   }
  273.   if (SSL_CTX_load_verify_locations( ptr->ssl_context, ca_file,ca_path) == 0)
  274.   {
  275.     DBUG_PRINT("warning", ("SSL_CTX_load_verify_locations failed"));
  276.     if (SSL_CTX_set_default_verify_paths(ptr->ssl_context) == 0)
  277.     {
  278.       DBUG_PRINT("error", ("SSL_CTX_set_default_verify_paths failed"));
  279.       report_errors();
  280.       goto ctor_failure;
  281.     }
  282.   } 
  284.   /* DH stuff */
  285.   dh=get_dh512();
  286.   SSL_CTX_set_tmp_dh(ptr->ssl_context,dh);
  287.   DH_free(dh);
  289.   DBUG_RETURN(ptr);
  290. ctor_failure:
  291.   DBUG_PRINT("exit", ("there was an error"));
  292.   my_free((gptr)ptr,MYF(0));
  293.   DBUG_RETURN(0);
  294. }
  297. /************************ VioSSLAcceptorFd **********************************/
  298. /*
  299.   TODO:
  300.        Add option --verify to mysqld to be able to change verification mode
  301. */
  302. struct st_VioSSLAcceptorFd*
  303. new_VioSSLAcceptorFd(const char *key_file,
  304.      const char *cert_file,
  305.      const char *ca_file,
  306.      const char *ca_path,
  307.      const char *cipher)
  308. {
  309.   int verify = (SSL_VERIFY_PEER |
  310. SSL_VERIFY_CLIENT_ONCE);
  311.   struct st_VioSSLAcceptorFd* ptr;
  312.   int result;
  313.   DH *dh;
  314.   DBUG_ENTER("new_VioSSLAcceptorFd");
  315.   DBUG_PRINT("enter",
  316.      ("key_file=%s, cert_file=%s, ca_path=%s, ca_file=%s, cipher=%s",
  317.       key_file, cert_file, ca_path, ca_file, cipher));
  319.   ptr= ((struct st_VioSSLAcceptorFd*)
  320. my_malloc(sizeof(struct st_VioSSLAcceptorFd),MYF(0)));
  321.   ptr->ssl_context=0;
  322.   ptr->ssl_method=0;
  323.   /* FIXME: constants! */
  324.   ptr->session_id_context= ptr;
  326.   if (!ssl_algorithms_added)
  327.   {
  328.     DBUG_PRINT("info", ("todo: OpenSSL_add_all_algorithms()"));
  329.     ssl_algorithms_added = TRUE;
  330.     SSL_library_init();
  331.     OpenSSL_add_all_algorithms();
  333.   }
  334. #ifdef __NETWARE__
  335.   netware_ssl_init();
  336. #endif
  338.   if (!ssl_error_strings_loaded)
  339.   {
  340.     DBUG_PRINT("info", ("todo: SSL_load_error_strings()"));
  341.     ssl_error_strings_loaded = TRUE;
  342.     SSL_load_error_strings();
  343.   }
  344.   ptr->ssl_method=  TLSv1_server_method();
  345.   ptr->ssl_context= SSL_CTX_new(ptr->ssl_method);
  346.   if (ptr->ssl_context == 0)
  347.   {
  348.     DBUG_PRINT("error", ("SSL_CTX_new failed"));
  349.     report_errors();
  350.     goto ctor_failure;
  351.   }
  352.   if (cipher)
  353.   {
  354.     result=SSL_CTX_set_cipher_list(ptr->ssl_context, cipher);
  355.     DBUG_PRINT("info",("SSL_set_cipher_list() returned %d",result));
  356.   }
  357.   /* SSL_CTX_set_quiet_shutdown(ctx,1); */
  358.   SSL_CTX_sess_set_cache_size(ptr->ssl_context,128);
  360.   /* DH? */
  361.   SSL_CTX_set_verify(ptr->ssl_context, verify, vio_verify_callback);
  362.   SSL_CTX_set_session_id_context(ptr->ssl_context,
  363.  (const uchar*) &(ptr->session_id_context),
  364.  sizeof(ptr->session_id_context));
  366.   /*
  367.     SSL_CTX_set_client_CA_list(ctx,SSL_load_client_CA_file(CAfile));
  368.   */
  369.   if (vio_set_cert_stuff(ptr->ssl_context, cert_file, key_file) == -1)
  370.   {
  371.     DBUG_PRINT("error", ("vio_set_cert_stuff failed"));
  372.     report_errors();
  373.     goto ctor_failure;
  374.   }
  375.   if (SSL_CTX_load_verify_locations( ptr->ssl_context, ca_file, ca_path) == 0)
  376.   {
  377.     DBUG_PRINT("warning", ("SSL_CTX_load_verify_locations failed"));
  378.     if (SSL_CTX_set_default_verify_paths(ptr->ssl_context)==0)
  379.     {
  380.       DBUG_PRINT("error", ("SSL_CTX_set_default_verify_paths failed"));
  381.       report_errors();
  382.       goto ctor_failure;
  383.     }
  384.   }
  385.   /* DH stuff */
  386.   dh=get_dh512();
  387.   SSL_CTX_set_tmp_dh(ptr->ssl_context,dh);
  388.   DH_free(dh);
  389.   DBUG_RETURN(ptr);
  391. ctor_failure:
  392.   DBUG_PRINT("exit", ("there was an error"));
  393.   my_free((gptr) ptr,MYF(0));
  394.   DBUG_RETURN(0);
  395. }
  396. #endif /* HAVE_OPENSSL */