src/org/cacert/gigi/dbObjects/Certificate.java

   1 package org.cacert.gigi.dbObjects;
   2
   3 import java.io.File;
   4 import java.io.FileInputStream;
   5 import java.io.FileOutputStream;
   6 import java.io.IOException;
   7 import java.io.InputStream;
   8 import java.security.GeneralSecurityException;
   9 import java.security.cert.CertificateFactory;
  10 import java.security.cert.X509Certificate;
  11 import java.sql.Date;
  12 import java.util.Arrays;
  13 import java.util.Collections;
  14 import java.util.HashMap;
  15 import java.util.LinkedList;
  16 import java.util.List;
  17 import java.util.Map.Entry;
  18
  19 import org.cacert.gigi.GigiApiException;
  20 import org.cacert.gigi.database.DatabaseConnection;
  21 import org.cacert.gigi.database.GigiPreparedStatement;
  22 import org.cacert.gigi.database.GigiResultSet;
  23 import org.cacert.gigi.util.KeyStorage;
  24 import org.cacert.gigi.util.Notary;
  25
  26 public class Certificate implements IdCachable {
  27
  28     public enum SANType {
  29         EMAIL("email"), DNS("DNS");
  30
  31         private final String opensslName;
  32
  33         private SANType(String opensslName) {
  34             this.opensslName = opensslName;
  35         }
  36
  37         public String getOpensslName() {
  38             return opensslName;
  39         }
  40     }
  41
  42     public static class SubjectAlternateName implements Comparable<SubjectAlternateName> {
  43
  44         private SANType type;
  45
  46         private String name;
  47
  48         public SubjectAlternateName(SANType type, String name) {
  49             this.type = type;
  50             this.name = name;
  51         }
  52
  53         public String getName() {
  54             return name;
  55         }
  56
  57         public SANType getType() {
  58             return type;
  59         }
  60
  61         @Override
  62         public int compareTo(SubjectAlternateName o) {
  63             int i = type.compareTo(o.type);
  64             if (i != 0) {
  65                 return i;
  66             }
  67             return name.compareTo(o.name);
  68         }
  69
  70         @Override
  71         public int hashCode() {
  72             final int prime = 31;
  73             int result = 1;
  74             result = prime * result + ((name == null) ? 0 : name.hashCode());
  75             result = prime * result + ((type == null) ? 0 : type.hashCode());
  76             return result;
  77         }
  78
  79         @Override
  80         public boolean equals(Object obj) {
  81             if (this == obj) {
  82                 return true;
  83             }
  84             if (obj == null) {
  85                 return false;
  86             }
  87             if (getClass() != obj.getClass()) {
  88                 return false;
  89             }
  90             SubjectAlternateName other = (SubjectAlternateName) obj;
  91             if (name == null) {
  92                 if (other.name != null) {
  93                     return false;
  94                 }
  95             } else if ( !name.equals(other.name)) {
  96                 return false;
  97             }
  98             if (type != other.type) {
  99                 return false;
 100             }
 101             return true;
 102         }
 103
 104     }
 105
 106     public enum CSRType {
 107         CSR, SPKAC;
 108     }
 109
 110     private int id;
 111
 112     private CertificateOwner owner;
 113
 114     private String serial;
 115
 116     private Digest md;
 117
 118     private String csrName;
 119
 120     private String crtName;
 121
 122     private String csr = null;
 123
 124     private CSRType csrType;
 125
 126     private List<SubjectAlternateName> sans;
 127
 128     private CertificateProfile profile;
 129
 130     private HashMap<String, String> dn;
 131
 132     private String dnString;
 133
 134     private CACertificate ca;
 135
 136     public Certificate(CertificateOwner owner, User actor, HashMap<String, String> dn, Digest md, String csr, CSRType csrType, CertificateProfile profile, SubjectAlternateName... sans) throws GigiApiException, IOException {
 137         if ( !profile.canBeIssuedBy(owner, actor)) {
 138             throw new GigiApiException("You are not allowed to issue these certificates.");
 139         }
 140         this.owner = owner;
 141         this.dn = dn;
 142         if (dn.size() == 0) {
 143             throw new GigiApiException("DN must not be empty");
 144         }
 145         dnString = stringifyDN(dn);
 146         this.md = md;
 147         this.csr = csr;
 148         this.csrType = csrType;
 149         this.profile = profile;
 150         this.sans = Arrays.asList(sans);
 151         synchronized (Certificate.class) {
 152
 153             GigiPreparedStatement inserter = DatabaseConnection.getInstance().prepare("INSERT INTO certs SET md=?::`mdType`, csr_type=?::`csrType`, crt_name='', memid=?, profile=?");
 154             inserter.setString(1, md.toString().toLowerCase());
 155             inserter.setString(2, csrType.toString());
 156             inserter.setInt(3, owner.getId());
 157             inserter.setInt(4, profile.getId());
 158             inserter.execute();
 159             id = inserter.lastInsertId();
 160
 161             GigiPreparedStatement san = DatabaseConnection.getInstance().prepare("INSERT INTO `subjectAlternativeNames` SET `certId`=?, contents=?, type=?::`SANType`");
 162             for (SubjectAlternateName subjectAlternateName : sans) {
 163                 san.setInt(1, id);
 164                 san.setString(2, subjectAlternateName.getName());
 165                 san.setString(3, subjectAlternateName.getType().getOpensslName());
 166                 san.execute();
 167             }
 168
 169             GigiPreparedStatement insertAVA = DatabaseConnection.getInstance().prepare("INSERT INTO `certAvas` SET `certId`=?, name=?, value=?");
 170             insertAVA.setInt(1, id);
 171             for (Entry<String, String> e : dn.entrySet()) {
 172                 insertAVA.setString(2, e.getKey());
 173                 insertAVA.setString(3, e.getValue());
 174                 insertAVA.execute();
 175             }
 176             File csrFile = KeyStorage.locateCsr(id);
 177             csrName = csrFile.getPath();
 178             try (FileOutputStream fos = new FileOutputStream(csrFile)) {
 179                 fos.write(csr.getBytes("UTF-8"));
 180             }
 181
 182             GigiPreparedStatement updater = DatabaseConnection.getInstance().prepare("UPDATE `certs` SET `csr_name`=? WHERE id=?");
 183             updater.setString(1, csrName);
 184             updater.setInt(2, id);
 185             updater.execute();
 186
 187             cache.put(this);
 188         }
 189     }
 190
 191     private Certificate(GigiResultSet rs) {
 192         this.id = rs.getInt("id");
 193         dnString = rs.getString("subject");
 194         md = Digest.valueOf(rs.getString("md").toUpperCase());
 195         csrName = rs.getString("csr_name");
 196         crtName = rs.getString("crt_name");
 197         owner = CertificateOwner.getById(rs.getInt("memid"));
 198         profile = CertificateProfile.getById(rs.getInt("profile"));
 199         this.serial = rs.getString("serial");
 200
 201         GigiPreparedStatement ps2 = DatabaseConnection.getInstance().prepare("SELECT `contents`, `type` FROM `subjectAlternativeNames` WHERE `certId`=?");
 202         ps2.setInt(1, id);
 203         GigiResultSet rs2 = ps2.executeQuery();
 204         sans = new LinkedList<>();
 205         while (rs2.next()) {
 206             sans.add(new SubjectAlternateName(SANType.valueOf(rs2.getString("type").toUpperCase()), rs2.getString("contents")));
 207         }
 208         rs2.close();
 209
 210         rs.close();
 211     }
 212
 213     public enum CertificateStatus {
 214         /**
 215          * This certificate is not in the database, has no id and only exists as
 216          * this java object.
 217          */
 218         DRAFT(),
 219         /**
 220          * The certificate has been signed. It is stored in the database.
 221          * {@link Certificate#cert()} is valid.
 222          */
 223         ISSUED(),
 224
 225         /**
 226          * The certificate has been revoked.
 227          */
 228         REVOKED(),
 229
 230         /**
 231          * If this certificate cannot be updated because an error happened in
 232          * the signer.
 233          */
 234         ERROR();
 235
 236         private CertificateStatus() {}
 237
 238     }
 239
 240     public synchronized CertificateStatus getStatus() {
 241         GigiPreparedStatement searcher = DatabaseConnection.getInstance().prepare("SELECT crt_name, created, revoked, serial, caid FROM certs WHERE id=?");
 242         searcher.setInt(1, id);
 243         GigiResultSet rs = searcher.executeQuery();
 244         if ( !rs.next()) {
 245             throw new IllegalStateException("Certificate not in Database");
 246         }
 247
 248         crtName = rs.getString(1);
 249         serial = rs.getString(4);
 250         if (rs.getTimestamp(2) == null) {
 251             return CertificateStatus.DRAFT;
 252         }
 253         ca = CACertificate.getById(rs.getInt("caid"));
 254         if (rs.getTimestamp(2) != null && rs.getTimestamp(3) == null) {
 255             return CertificateStatus.ISSUED;
 256         }
 257         return CertificateStatus.REVOKED;
 258     }
 259
 260     /**
 261      * @param start
 262      *            the date from which on the certificate should be valid. (or
 263      *            null if it should be valid instantly)
 264      * @param period
 265      *            the period for which the date should be valid. (a
 266      *            <code>yyyy-mm-dd</code> or a "2y" (2 calendar years), "6m" (6
 267      *            months)
 268      * @return A job which can be used to monitor the progress of this task.
 269      * @throws IOException
 270      *             for problems with writing the CSR/SPKAC
 271      * @throws GigiApiException
 272      *             if the period is bogus
 273      */
 274     public Job issue(Date start, String period, User actor) throws IOException, GigiApiException {
 275         if (getStatus() != CertificateStatus.DRAFT) {
 276             throw new IllegalStateException();
 277         }
 278         Notary.writeUserAgreement(actor, "CCA", "issue certificate", "", true, 0);
 279
 280         return Job.sign(this, start, period);
 281
 282     }
 283
 284     public Job revoke() {
 285         if (getStatus() != CertificateStatus.ISSUED) {
 286             throw new IllegalStateException();
 287         }
 288         return Job.revoke(this);
 289
 290     }
 291
 292     public CACertificate getParent() {
 293         CertificateStatus status = getStatus();
 294         if (status != CertificateStatus.REVOKED && status != CertificateStatus.ISSUED) {
 295             throw new IllegalStateException(status + " is not wanted here.");
 296         }
 297         return ca;
 298     }
 299
 300     public X509Certificate cert() throws IOException, GeneralSecurityException {
 301         CertificateStatus status = getStatus();
 302         if (status != CertificateStatus.REVOKED && status != CertificateStatus.ISSUED) {
 303             throw new IllegalStateException(status + " is not wanted here.");
 304         }
 305         InputStream is = null;
 306         X509Certificate crt = null;
 307         try {
 308             is = new FileInputStream(crtName);
 309             CertificateFactory cf = CertificateFactory.getInstance("X.509");
 310             crt = (X509Certificate) cf.generateCertificate(is);
 311         } finally {
 312             if (is != null) {
 313                 is.close();
 314             }
 315         }
 316         return crt;
 317     }
 318
 319     public Certificate renew() {
 320         return null;
 321     }
 322
 323     public int getId() {
 324         return id;
 325     }
 326
 327     public String getSerial() {
 328         getStatus();
 329         // poll changes
 330         return serial;
 331     }
 332
 333     public String getDistinguishedName() {
 334         return dnString;
 335     }
 336
 337     public Digest getMessageDigest() {
 338         return md;
 339     }
 340
 341     public CertificateOwner getOwner() {
 342         return owner;
 343     }
 344
 345     public List<SubjectAlternateName> getSANs() {
 346         return Collections.unmodifiableList(sans);
 347     }
 348
 349     public CertificateProfile getProfile() {
 350         return profile;
 351     }
 352
 353     public synchronized static Certificate getBySerial(String serial) {
 354         if (serial == null || "".equals(serial)) {
 355             return null;
 356         }
 357         String concat = "string_agg(concat('/', `name`, '=', REPLACE(REPLACE(value, '\\\\', '\\\\\\\\'), '/', '\\\\/')), '')";
 358         GigiPreparedStatement ps = DatabaseConnection.getInstance().prepare("SELECT certs.id, " + concat + " as `subject`, `md`, `csr_name`, `crt_name`,`memid`, `profile`, `certs`.`serial` FROM `certs` LEFT JOIN `certAvas` ON `certAvas`.`certId`=`certs`.`id` WHERE `serial`=? GROUP BY `certs`.`id`");
 359         ps.setString(1, serial);
 360         GigiResultSet rs = ps.executeQuery();
 361         if ( !rs.next()) {
 362             return null;
 363         }
 364         int id = rs.getInt(1);
 365         Certificate c1 = cache.get(id);
 366         if (c1 != null) {
 367             return c1;
 368         }
 369         Certificate certificate = new Certificate(rs);
 370         cache.put(certificate);
 371         return certificate;
 372     }
 373
 374     private static ObjectCache<Certificate> cache = new ObjectCache<>();
 375
 376     public synchronized static Certificate getById(int id) {
 377         Certificate cacheRes = cache.get(id);
 378         if (cacheRes != null) {
 379             return cacheRes;
 380         }
 381
 382         try {
 383             String concat = "string_agg(concat('/', `name`, '=', REPLACE(REPLACE(value, '\\\\', '\\\\\\\\'), '/', '\\\\/')), '')";
 384             GigiPreparedStatement ps = DatabaseConnection.getInstance().prepare("SELECT certs.id, " + concat + " as subject, md, csr_name, crt_name,memid, profile, certs.serial FROM `certs` LEFT JOIN `certAvas` ON `certAvas`.`certId`=certs.id WHERE certs.id=? GROUP BY certs.id");
 385             ps.setInt(1, id);
 386             GigiResultSet rs = ps.executeQuery();
 387             if ( !rs.next()) {
 388                 return null;
 389             }
 390
 391             Certificate c = new Certificate(rs);
 392             cache.put(c);
 393             return c;
 394         } catch (IllegalArgumentException e) {
 395
 396         }
 397         return null;
 398     }
 399
 400     public static String escapeAVA(String value) {
 401
 402         return value.replace("\\", "\\\\").replace("/", "\\/");
 403     }
 404
 405     public static String stringifyDN(HashMap<String, String> contents) {
 406         StringBuffer res = new StringBuffer();
 407         for (Entry<String, String> i : contents.entrySet()) {
 408             res.append("/" + i.getKey() + "=");
 409             res.append(escapeAVA(i.getValue()));
 410         }
 411         return res.toString();
 412     }
 413
 414     public static HashMap<String, String> buildDN(String... contents) {
 415         HashMap<String, String> res = new HashMap<>();
 416         for (int i = 0; i + 1 < contents.length; i += 2) {
 417             res.put(contents[i], contents[i + 1]);
 418         }
 419         return res;
 420     }
 421
 422     public java.util.Date getRevocationDate() {
 423         if (getStatus() == CertificateStatus.REVOKED) {
 424             GigiPreparedStatement prep = DatabaseConnection.getInstance().prepare("SELECT revoked FROM certs WHERE id=?");
 425             prep.setInt(1, getId());
 426             GigiResultSet res = prep.executeQuery();
 427             if (res.next()) {
 428                 return new java.util.Date(res.getDate("revoked").getTime());
 429             }
 430         }
 431         return null;
 432     }
 433 }