tlsauth.go

   1 /*
   2 tofuproxy -- HTTP proxy with TLS certificates management
   3 Copyright (C) 2021 Sergey Matveev <stargrave@stargrave.org>
   4
   5 This program is free software: you can redistribute it and/or modify
   6 it under the terms of the GNU General Public License as published by
   7 the Free Software Foundation, version 3 of the License.
   8
   9 This program is distributed in the hope that it will be useful,
  10 but WITHOUT ANY WARRANTY; without even the implied warranty of
  11 MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  12 GNU General Public License for more details.
  13
  14 You should have received a copy of the GNU General Public License
  15 along with this program.  If not, see <http://www.gnu.org/licenses/>.
  16 */
  17
  18 package tofuproxy
  19
  20 import (
  21         "bytes"
  22         "crypto/tls"
  23         "crypto/x509"
  24         "errors"
  25         "fmt"
  26         "log"
  27         "os"
  28         "os/exec"
  29         "path/filepath"
  30         "strconv"
  31         "strings"
  32
  33         "go.cypherpunks.ru/ucspi"
  34         "go.stargrave.org/tofuproxy/caches"
  35         "go.stargrave.org/tofuproxy/fifos"
  36 )
  37
  38 var CCerts string
  39
  40 type ClientCertificateGetter struct {
  41         host string
  42         auth bool
  43 }
  44
  45 func (g *ClientCertificateGetter) get(
  46         cri *tls.CertificateRequestInfo,
  47 ) (*tls.Certificate, error) {
  48         caches.TLSAuthCacheM.RLock()
  49         tlsCert := caches.TLSAuthCache[g.host]
  50         caches.TLSAuthCacheM.RUnlock()
  51         if tlsCert != nil {
  52                 return tlsCert, nil
  53         }
  54         sigSchemes := make([]string, 0, len(cri.SignatureSchemes))
  55         for _, ss := range cri.SignatureSchemes {
  56                 sigSchemes = append(sigSchemes, ss.String())
  57         }
  58         var b bytes.Buffer
  59         b.WriteString(fmt.Sprintf(`
  60 tk_setPalette grey
  61 wm title . "TLS client authentication: %s"
  62
  63 set lb [listbox .lb]
  64 .lb insert end ""
  65 grid .lb
  66
  67 proc submit {} {
  68     global lb
  69     puts [$lb get active]
  70     exit
  71 }
  72
  73 button .submit -text "Use" -command submit
  74 grid .submit
  75
  76 label .lTLSVersion -text "TLS version: %s"
  77 grid .lTLSVersion
  78
  79 set sigSchemeRow 0
  80 foreach sigScheme {%s} {
  81     label .lSignatureScheme$sigSchemeRow -text "Signature scheme: $sigScheme"
  82     grid .lSignatureScheme$sigSchemeRow
  83     incr sigSchemeRow
  84 }
  85
  86 `,
  87                 g.host,
  88                 ucspi.TLSVersion(cri.Version),
  89                 strings.Join(sigSchemes, " "),
  90         ))
  91
  92         ents, err := os.ReadDir(CCerts)
  93         if err != nil {
  94                 log.Fatalln(err)
  95         }
  96         certs := make([]*x509.Certificate, 0, len(ents))
  97         tlsCerts := make([]*tls.Certificate, 0, len(ents))
  98         for i, ent := range ents {
  99                 p := filepath.Join(CCerts, ent.Name())
 100                 _, cert, err := ucspi.CertificateFromFile(p)
 101                 if err != nil {
 102                         log.Fatalln(err)
 103                 }
 104                 prv, err := ucspi.PrivateKeyFromFile(p)
 105                 if err != nil {
 106                         log.Fatalln(err)
 107                 }
 108                 certs = append(certs, cert)
 109                 tlsCerts = append(tlsCerts, &tls.Certificate{
 110                         Certificate: [][]byte{cert.Raw},
 111                         PrivateKey:  prv,
 112                 })
 113                 b.WriteString(fmt.Sprintf(".lb insert end \"%d: %s\"\n", i, cert.Subject))
 114         }
 115         // ioutil.WriteFile("/tmp/tls-auth-dialog.tcl", b.Bytes(), 0666)
 116         cmd := exec.Command(CmdWish)
 117         cmd.Stdin = &b
 118         out, err := cmd.Output()
 119         if err != nil {
 120                 return nil, err
 121         }
 122         lines := strings.Split(string(out), "\n")
 123         if len(lines) < 1 {
 124                 return nil, errors.New("invalid output from authentication form")
 125         }
 126         t := strings.Split(lines[0], ":")[0]
 127         i, err := strconv.Atoi(t)
 128         if err != nil {
 129                 return &tls.Certificate{}, nil
 130         }
 131         fifos.LogTLSAuth <- fmt.Sprintf("%s\t%s", g.host, certs[i].Subject)
 132         caches.TLSAuthCacheM.Lock()
 133         caches.TLSAuthCache[g.host] = tlsCerts[i]
 134         caches.TLSAuthCacheM.Unlock()
 135         g.auth = true
 136         return tlsCerts[i], nil
 137 }