src/org/cacert/gigi/dbObjects/Certificate.java

   1 package org.cacert.gigi.dbObjects;
   2
   3 import java.io.File;
   4 import java.io.FileInputStream;
   5 import java.io.FileOutputStream;
   6 import java.io.IOException;
   7 import java.io.InputStream;
   8 import java.security.GeneralSecurityException;
   9 import java.security.cert.CertificateFactory;
  10 import java.security.cert.X509Certificate;
  11 import java.sql.Date;
  12 import java.util.Arrays;
  13 import java.util.Collections;
  14 import java.util.HashMap;
  15 import java.util.LinkedList;
  16 import java.util.List;
  17 import java.util.Map.Entry;
  18
  19 import org.cacert.gigi.GigiApiException;
  20 import org.cacert.gigi.database.DatabaseConnection;
  21 import org.cacert.gigi.database.GigiPreparedStatement;
  22 import org.cacert.gigi.database.GigiResultSet;
  23 import org.cacert.gigi.util.KeyStorage;
  24 import org.cacert.gigi.util.Notary;
  25
  26 public class Certificate implements IdCachable {
  27
  28     public enum SANType {
  29         EMAIL("email"), DNS("DNS");
  30
  31         private final String opensslName;
  32
  33         private SANType(String opensslName) {
  34             this.opensslName = opensslName;
  35         }
  36
  37         public String getOpensslName() {
  38             return opensslName;
  39         }
  40     }
  41
  42     public static class SubjectAlternateName implements Comparable<SubjectAlternateName> {
  43
  44         private SANType type;
  45
  46         private String name;
  47
  48         public SubjectAlternateName(SANType type, String name) {
  49             this.type = type;
  50             this.name = name;
  51         }
  52
  53         public String getName() {
  54             return name;
  55         }
  56
  57         public SANType getType() {
  58             return type;
  59         }
  60
  61         @Override
  62         public int compareTo(SubjectAlternateName o) {
  63             int i = type.compareTo(o.type);
  64             if (i != 0) {
  65                 return i;
  66             }
  67             return name.compareTo(o.name);
  68         }
  69
  70         @Override
  71         public int hashCode() {
  72             final int prime = 31;
  73             int result = 1;
  74             result = prime * result + ((name == null) ? 0 : name.hashCode());
  75             result = prime * result + ((type == null) ? 0 : type.hashCode());
  76             return result;
  77         }
  78
  79         @Override
  80         public boolean equals(Object obj) {
  81             if (this == obj) {
  82                 return true;
  83             }
  84             if (obj == null) {
  85                 return false;
  86             }
  87             if (getClass() != obj.getClass()) {
  88                 return false;
  89             }
  90             SubjectAlternateName other = (SubjectAlternateName) obj;
  91             if (name == null) {
  92                 if (other.name != null) {
  93                     return false;
  94                 }
  95             } else if ( !name.equals(other.name)) {
  96                 return false;
  97             }
  98             if (type != other.type) {
  99                 return false;
 100             }
 101             return true;
 102         }
 103
 104     }
 105
 106     public enum CSRType {
 107         CSR, SPKAC;
 108     }
 109
 110     private int id;
 111
 112     private User owner;
 113
 114     private String serial;
 115
 116     private String md;
 117
 118     private String csrName;
 119
 120     private String crtName;
 121
 122     private String csr = null;
 123
 124     private CSRType csrType;
 125
 126     private List<SubjectAlternateName> sans;
 127
 128     private CertificateProfile profile;
 129
 130     private HashMap<String, String> dn;
 131
 132     private String dnString;
 133
 134     private CACertificate ca;
 135
 136     public Certificate(User owner, HashMap<String, String> dn, String md, String csr, CSRType csrType, CertificateProfile profile, SubjectAlternateName... sans) throws GigiApiException, IOException {
 137         if ( !profile.canBeIssuedBy(owner)) {
 138             throw new GigiApiException("You are not allowed to issue these certificates.");
 139         }
 140         this.owner = owner;
 141         this.dn = dn;
 142         if (dn.size() == 0) {
 143             throw new GigiApiException("DN must not be empty");
 144         }
 145         dnString = stringifyDN(dn);
 146         this.md = md;
 147         this.csr = csr;
 148         this.csrType = csrType;
 149         this.profile = profile;
 150         this.sans = Arrays.asList(sans);
 151         synchronized (Certificate.class) {
 152
 153             GigiPreparedStatement inserter = DatabaseConnection.getInstance().prepare("INSERT INTO certs SET md=?::`mdType`, csr_type=?::`csrType`, crt_name='', memid=?, profile=?");
 154             inserter.setString(1, md.toLowerCase());
 155             inserter.setString(2, csrType.toString());
 156             inserter.setInt(3, owner.getId());
 157             inserter.setInt(4, profile.getId());
 158             inserter.execute();
 159             id = inserter.lastInsertId();
 160
 161             GigiPreparedStatement san = DatabaseConnection.getInstance().prepare("INSERT INTO `subjectAlternativeNames` SET `certId`=?, contents=?, type=?::`SANType`");
 162             for (SubjectAlternateName subjectAlternateName : sans) {
 163                 san.setInt(1, id);
 164                 san.setString(2, subjectAlternateName.getName());
 165                 san.setString(3, subjectAlternateName.getType().getOpensslName());
 166                 san.execute();
 167             }
 168
 169             GigiPreparedStatement insertAVA = DatabaseConnection.getInstance().prepare("INSERT INTO `certAvas` SET `certId`=?, name=?, value=?");
 170             insertAVA.setInt(1, id);
 171             for (Entry<String, String> e : dn.entrySet()) {
 172                 insertAVA.setString(2, e.getKey());
 173                 insertAVA.setString(3, e.getValue());
 174                 insertAVA.execute();
 175             }
 176             File csrFile = KeyStorage.locateCsr(id);
 177             csrName = csrFile.getPath();
 178             try (FileOutputStream fos = new FileOutputStream(csrFile)) {
 179                 fos.write(csr.getBytes("UTF-8"));
 180             }
 181
 182             GigiPreparedStatement updater = DatabaseConnection.getInstance().prepare("UPDATE `certs` SET `csr_name`=? WHERE id=?");
 183             updater.setString(1, csrName);
 184             updater.setInt(2, id);
 185             updater.execute();
 186
 187             cache.put(this);
 188         }
 189     }
 190
 191     private Certificate(GigiResultSet rs) {
 192         //
 193         if ( !rs.next()) {
 194             throw new IllegalArgumentException("Invalid mid " + serial);
 195         }
 196         this.id = rs.getInt("id");
 197         dnString = rs.getString("subject");
 198         md = rs.getString("md");
 199         csrName = rs.getString("csr_name");
 200         crtName = rs.getString("crt_name");
 201         owner = User.getById(rs.getInt("memid"));
 202         profile = CertificateProfile.getById(rs.getInt("profile"));
 203         this.serial = rs.getString("serial");
 204
 205         GigiPreparedStatement ps2 = DatabaseConnection.getInstance().prepare("SELECT `contents`, `type` FROM `subjectAlternativeNames` WHERE `certId`=?");
 206         ps2.setInt(1, id);
 207         GigiResultSet rs2 = ps2.executeQuery();
 208         sans = new LinkedList<>();
 209         while (rs2.next()) {
 210             sans.add(new SubjectAlternateName(SANType.valueOf(rs2.getString("type").toUpperCase()), rs2.getString("contents")));
 211         }
 212         rs2.close();
 213
 214         rs.close();
 215     }
 216
 217     public enum CertificateStatus {
 218         /**
 219          * This certificate is not in the database, has no id and only exists as
 220          * this java object.
 221          */
 222         DRAFT(),
 223         /**
 224          * The certificate has been signed. It is stored in the database.
 225          * {@link Certificate#cert()} is valid.
 226          */
 227         ISSUED(),
 228
 229         /**
 230          * The certificate has been revoked.
 231          */
 232         REVOKED(),
 233
 234         /**
 235          * If this certificate cannot be updated because an error happened in
 236          * the signer.
 237          */
 238         ERROR();
 239
 240         private CertificateStatus() {}
 241
 242     }
 243
 244     public synchronized CertificateStatus getStatus() {
 245         if (id == 0) {
 246             return CertificateStatus.DRAFT;
 247         }
 248         GigiPreparedStatement searcher = DatabaseConnection.getInstance().prepare("SELECT crt_name, created, revoked, serial, caid FROM certs WHERE id=?");
 249         searcher.setInt(1, id);
 250         GigiResultSet rs = searcher.executeQuery();
 251         if ( !rs.next()) {
 252             throw new IllegalStateException("Certificate not in Database");
 253         }
 254
 255         crtName = rs.getString(1);
 256         serial = rs.getString(4);
 257         if (rs.getTimestamp(2) == null) {
 258             return CertificateStatus.DRAFT;
 259         }
 260         ca = CACertificate.getById(rs.getInt("caid"));
 261         if (rs.getTimestamp(2) != null && rs.getTimestamp(3) == null) {
 262             return CertificateStatus.ISSUED;
 263         }
 264         return CertificateStatus.REVOKED;
 265     }
 266
 267     /**
 268      * @param start
 269      *            the date from which on the certificate should be valid. (or
 270      *            null if it should be valid instantly)
 271      * @param period
 272      *            the period for which the date should be valid. (a
 273      *            <code>yyyy-mm-dd</code> or a "2y" (2 calendar years), "6m" (6
 274      *            months)
 275      * @return A job which can be used to monitor the progress of this task.
 276      * @throws IOException
 277      *             for problems with writing the CSR/SPKAC
 278      * @throws GigiApiException
 279      *             if the period is bogus
 280      */
 281     public Job issue(Date start, String period) throws IOException, GigiApiException {
 282         if (getStatus() != CertificateStatus.DRAFT) {
 283             throw new IllegalStateException();
 284         }
 285         Notary.writeUserAgreement(owner, "CCA", "issue certificate", "", true, 0);
 286
 287         return Job.sign(this, start, period);
 288
 289     }
 290
 291     public Job revoke() {
 292         if (getStatus() != CertificateStatus.ISSUED) {
 293             throw new IllegalStateException();
 294         }
 295         return Job.revoke(this);
 296
 297     }
 298
 299     public CACertificate getParent() {
 300         CertificateStatus status = getStatus();
 301         if (status != CertificateStatus.REVOKED && status != CertificateStatus.ISSUED) {
 302             throw new IllegalStateException(status + " is not wanted here.");
 303         }
 304         return ca;
 305     }
 306
 307     public X509Certificate cert() throws IOException, GeneralSecurityException {
 308         CertificateStatus status = getStatus();
 309         if (status != CertificateStatus.REVOKED && status != CertificateStatus.ISSUED) {
 310             throw new IllegalStateException(status + " is not wanted here.");
 311         }
 312         InputStream is = null;
 313         X509Certificate crt = null;
 314         try {
 315             is = new FileInputStream(crtName);
 316             CertificateFactory cf = CertificateFactory.getInstance("X.509");
 317             crt = (X509Certificate) cf.generateCertificate(is);
 318         } finally {
 319             if (is != null) {
 320                 is.close();
 321             }
 322         }
 323         return crt;
 324     }
 325
 326     public Certificate renew() {
 327         return null;
 328     }
 329
 330     public int getId() {
 331         return id;
 332     }
 333
 334     public String getSerial() {
 335         getStatus();
 336         // poll changes
 337         return serial;
 338     }
 339
 340     public String getDistinguishedName() {
 341         return dnString;
 342     }
 343
 344     public String getMessageDigest() {
 345         return md;
 346     }
 347
 348     public User getOwner() {
 349         return owner;
 350     }
 351
 352     public List<SubjectAlternateName> getSANs() {
 353         return Collections.unmodifiableList(sans);
 354     }
 355
 356     public CertificateProfile getProfile() {
 357         return profile;
 358     }
 359
 360     public synchronized static Certificate getBySerial(String serial) {
 361         if (serial == null || "".equals(serial)) {
 362             return null;
 363         }
 364         try {
 365             String concat = "string_agg(concat('/', `name`, '=', REPLACE(REPLACE(value, '\\\\', '\\\\\\\\'), '/', '\\\\/')), '')";
 366             GigiPreparedStatement ps = DatabaseConnection.getInstance().prepare("SELECT certs.id, " + concat + " as `subject`, `md`, `csr_name`, `crt_name`,`memid`, `profile`, `certs`.`serial` FROM `certs` LEFT JOIN `certAvas` ON `certAvas`.`certId`=`certs`.`id` WHERE `serial`=? GROUP BY `certs`.`id`");
 367             ps.setString(1, serial);
 368             GigiResultSet rs = ps.executeQuery();
 369             int id = rs.getInt(1);
 370             Certificate c1 = cache.get(id);
 371             if (c1 != null) {
 372                 return c1;
 373             }
 374             Certificate certificate = new Certificate(rs);
 375             cache.put(certificate);
 376             return certificate;
 377         } catch (IllegalArgumentException e) {
 378
 379         }
 380         return null;
 381     }
 382
 383     private static ObjectCache<Certificate> cache = new ObjectCache<>();
 384
 385     public synchronized static Certificate getById(int id) {
 386         Certificate cacheRes = cache.get(id);
 387         if (cacheRes != null) {
 388             return cacheRes;
 389         }
 390
 391         try {
 392             String concat = "string_agg(concat('/', `name`, '=', REPLACE(REPLACE(value, '\\\\', '\\\\\\\\'), '/', '\\\\/')), '')";
 393             GigiPreparedStatement ps = DatabaseConnection.getInstance().prepare("SELECT certs.id, " + concat + " as subject, md, csr_name, crt_name,memid, profile, certs.serial FROM `certs` LEFT JOIN `certAvas` ON `certAvas`.`certId`=certs.id WHERE certs.id=? GROUP BY certs.id");
 394             ps.setInt(1, id);
 395             GigiResultSet rs = ps.executeQuery();
 396
 397             Certificate c = new Certificate(rs);
 398             cache.put(c);
 399             return c;
 400         } catch (IllegalArgumentException e) {
 401
 402         }
 403         return null;
 404     }
 405
 406     public static String escapeAVA(String value) {
 407
 408         return value.replace("\\", "\\\\").replace("/", "\\/");
 409     }
 410
 411     public static String stringifyDN(HashMap<String, String> contents) {
 412         StringBuffer res = new StringBuffer();
 413         for (Entry<String, String> i : contents.entrySet()) {
 414             res.append("/" + i.getKey() + "=");
 415             res.append(escapeAVA(i.getValue()));
 416         }
 417         return res.toString();
 418     }
 419
 420     public static HashMap<String, String> buildDN(String... contents) {
 421         HashMap<String, String> res = new HashMap<>();
 422         for (int i = 0; i + 1 < contents.length; i += 2) {
 423             res.put(contents[i], contents[i + 1]);
 424         }
 425         return res;
 426     }
 427
 428     public java.util.Date getRevocationDate() {
 429         if (getStatus() == CertificateStatus.REVOKED) {
 430             GigiPreparedStatement prep = DatabaseConnection.getInstance().prepare("SELECT revoked FROM certs WHERE id=?");
 431             prep.setInt(1, getId());
 432             GigiResultSet res = prep.executeQuery();
 433             res.beforeFirst();
 434             if (res.next()) {
 435                 return new java.util.Date(res.getDate("revoked").getTime());
 436             }
 437         }
 438         return null;
 439     }
 440 }