Add Openflow 1.3 test for asynchronous message control.
[sliver-openvswitch.git] / lib / stream-ssl.c
1 /*
2  * Copyright (c) 2008, 2009, 2010, 2011, 2012 Nicira, Inc.
3  *
4  * Licensed under the Apache License, Version 2.0 (the "License");
5  * you may not use this file except in compliance with the License.
6  * You may obtain a copy of the License at:
7  *
8  *     http://www.apache.org/licenses/LICENSE-2.0
9  *
10  * Unless required by applicable law or agreed to in writing, software
11  * distributed under the License is distributed on an "AS IS" BASIS,
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
13  * See the License for the specific language governing permissions and
14  * limitations under the License.
15  */
16
17 #include <config.h>
18 #include "stream-ssl.h"
19 #include "dhparams.h"
20 #include <assert.h>
21 #include <ctype.h>
22 #include <errno.h>
23 #include <inttypes.h>
24 #include <string.h>
25 #include <sys/types.h>
26 #include <sys/socket.h>
27 #include <netinet/tcp.h>
28 #include <openssl/err.h>
29 #include <openssl/rand.h>
30 #include <openssl/ssl.h>
31 #include <openssl/x509v3.h>
32 #include <poll.h>
33 #include <sys/fcntl.h>
34 #include <sys/stat.h>
35 #include <unistd.h>
36 #include "coverage.h"
37 #include "dynamic-string.h"
38 #include "entropy.h"
39 #include "leak-checker.h"
40 #include "ofpbuf.h"
41 #include "openflow/openflow.h"
42 #include "packets.h"
43 #include "poll-loop.h"
44 #include "shash.h"
45 #include "socket-util.h"
46 #include "util.h"
47 #include "stream-provider.h"
48 #include "stream.h"
49 #include "timeval.h"
50 #include "vlog.h"
51
52 VLOG_DEFINE_THIS_MODULE(stream_ssl);
53
54 /* Active SSL. */
55
56 enum ssl_state {
57     STATE_TCP_CONNECTING,
58     STATE_SSL_CONNECTING
59 };
60
61 enum session_type {
62     CLIENT,
63     SERVER
64 };
65
66 struct ssl_stream
67 {
68     struct stream stream;
69     enum ssl_state state;
70     enum session_type type;
71     int fd;
72     SSL *ssl;
73     struct ofpbuf *txbuf;
74     unsigned int session_nr;
75
76     /* rx_want and tx_want record the result of the last call to SSL_read()
77      * and SSL_write(), respectively:
78      *
79      *    - If the call reported that data needed to be read from the file
80      *      descriptor, the corresponding member is set to SSL_READING.
81      *
82      *    - If the call reported that data needed to be written to the file
83      *      descriptor, the corresponding member is set to SSL_WRITING.
84      *
85      *    - Otherwise, the member is set to SSL_NOTHING, indicating that the
86      *      call completed successfully (or with an error) and that there is no
87      *      need to block.
88      *
89      * These are needed because there is no way to ask OpenSSL what a data read
90      * or write would require without giving it a buffer to receive into or
91      * data to send, respectively.  (Note that the SSL_want() status is
92      * overwritten by each SSL_read() or SSL_write() call, so we can't rely on
93      * its value.)
94      *
95      * A single call to SSL_read() or SSL_write() can perform both reading
96      * and writing and thus invalidate not one of these values but actually
97      * both.  Consider this situation, for example:
98      *
99      *    - SSL_write() blocks on a read, so tx_want gets SSL_READING.
100      *
101      *    - SSL_read() laters succeeds reading from 'fd' and clears out the
102      *      whole receive buffer, so rx_want gets SSL_READING.
103      *
104      *    - Client calls stream_wait(STREAM_RECV) and stream_wait(STREAM_SEND)
105      *      and blocks.
106      *
107      *    - Now we're stuck blocking until the peer sends us data, even though
108      *      SSL_write() could now succeed, which could easily be a deadlock
109      *      condition.
110      *
111      * On the other hand, we can't reset both tx_want and rx_want on every call
112      * to SSL_read() or SSL_write(), because that would produce livelock,
113      * e.g. in this situation:
114      *
115      *    - SSL_write() blocks, so tx_want gets SSL_READING or SSL_WRITING.
116      *
117      *    - SSL_read() blocks, so rx_want gets SSL_READING or SSL_WRITING,
118      *      but tx_want gets reset to SSL_NOTHING.
119      *
120      *    - Client calls stream_wait(STREAM_RECV) and stream_wait(STREAM_SEND)
121      *      and blocks.
122      *
123      *    - Client wakes up immediately since SSL_NOTHING in tx_want indicates
124      *      that no blocking is necessary.
125      *
126      * The solution we adopt here is to set tx_want to SSL_NOTHING after
127      * calling SSL_read() only if the SSL state of the connection changed,
128      * which indicates that an SSL-level renegotiation made some progress, and
129      * similarly for rx_want and SSL_write().  This prevents both the
130      * deadlock and livelock situations above.
131      */
132     int rx_want, tx_want;
133
134     /* A few bytes of header data in case SSL negotiation fails. */
135     uint8_t head[2];
136     short int n_head;
137 };
138
139 /* SSL context created by ssl_init(). */
140 static SSL_CTX *ctx;
141
142 struct ssl_config_file {
143     bool read;                  /* Whether the file was successfully read. */
144     char *file_name;            /* Configured file name, if any. */
145     struct timespec mtime;      /* File mtime as of last time we read it. */
146 };
147
148 /* SSL configuration files. */
149 static struct ssl_config_file private_key;
150 static struct ssl_config_file certificate;
151 static struct ssl_config_file ca_cert;
152
153 /* Ordinarily, the SSL client and server verify each other's certificates using
154  * a CA certificate.  Setting this to false disables this behavior.  (This is a
155  * security risk.) */
156 static bool verify_peer_cert = true;
157
158 /* Ordinarily, we require a CA certificate for the peer to be locally
159  * available.  We can, however, bootstrap the CA certificate from the peer at
160  * the beginning of our first connection then use that certificate on all
161  * subsequent connections, saving it to a file for use in future runs also.  In
162  * this case, 'bootstrap_ca_cert' is true. */
163 static bool bootstrap_ca_cert;
164
165 /* Session number.  Used in debug logging messages to uniquely identify a
166  * session. */
167 static unsigned int next_session_nr;
168
169 /* Who knows what can trigger various SSL errors, so let's throttle them down
170  * quite a bit. */
171 static struct vlog_rate_limit rl = VLOG_RATE_LIMIT_INIT(10, 25);
172
173 static int ssl_init(void);
174 static int do_ssl_init(void);
175 static bool ssl_wants_io(int ssl_error);
176 static void ssl_close(struct stream *);
177 static void ssl_clear_txbuf(struct ssl_stream *);
178 static void interpret_queued_ssl_error(const char *function);
179 static int interpret_ssl_error(const char *function, int ret, int error,
180                                int *want);
181 static DH *tmp_dh_callback(SSL *ssl, int is_export OVS_UNUSED, int keylength);
182 static void log_ca_cert(const char *file_name, X509 *cert);
183 static void stream_ssl_set_ca_cert_file__(const char *file_name,
184                                           bool bootstrap, bool force);
185 static void ssl_protocol_cb(int write_p, int version, int content_type,
186                             const void *, size_t, SSL *, void *sslv_);
187 static bool update_ssl_config(struct ssl_config_file *, const char *file_name);
188
189 static short int
190 want_to_poll_events(int want)
191 {
192     switch (want) {
193     case SSL_NOTHING:
194         NOT_REACHED();
195
196     case SSL_READING:
197         return POLLIN;
198
199     case SSL_WRITING:
200         return POLLOUT;
201
202     default:
203         NOT_REACHED();
204     }
205 }
206
207 static int
208 new_ssl_stream(const char *name, int fd, enum session_type type,
209                enum ssl_state state, const struct sockaddr_in *remote,
210                struct stream **streamp)
211 {
212     struct sockaddr_in local;
213     socklen_t local_len = sizeof local;
214     struct ssl_stream *sslv;
215     SSL *ssl = NULL;
216     int on = 1;
217     int retval;
218
219     /* Check for all the needful configuration. */
220     retval = 0;
221     if (!private_key.read) {
222         VLOG_ERR("Private key must be configured to use SSL");
223         retval = ENOPROTOOPT;
224     }
225     if (!certificate.read) {
226         VLOG_ERR("Certificate must be configured to use SSL");
227         retval = ENOPROTOOPT;
228     }
229     if (!ca_cert.read && verify_peer_cert && !bootstrap_ca_cert) {
230         VLOG_ERR("CA certificate must be configured to use SSL");
231         retval = ENOPROTOOPT;
232     }
233     if (!retval && !SSL_CTX_check_private_key(ctx)) {
234         VLOG_ERR("Private key does not match certificate public key: %s",
235                  ERR_error_string(ERR_get_error(), NULL));
236         retval = ENOPROTOOPT;
237     }
238     if (retval) {
239         goto error;
240     }
241
242     /* Get the local IP and port information */
243     retval = getsockname(fd, (struct sockaddr *) &local, &local_len);
244     if (retval) {
245         memset(&local, 0, sizeof local);
246     }
247
248     /* Disable Nagle. */
249     retval = setsockopt(fd, IPPROTO_TCP, TCP_NODELAY, &on, sizeof on);
250     if (retval) {
251         VLOG_ERR("%s: setsockopt(TCP_NODELAY): %s", name, strerror(errno));
252         retval = errno;
253         goto error;
254     }
255
256     /* Create and configure OpenSSL stream. */
257     ssl = SSL_new(ctx);
258     if (ssl == NULL) {
259         VLOG_ERR("SSL_new: %s", ERR_error_string(ERR_get_error(), NULL));
260         retval = ENOPROTOOPT;
261         goto error;
262     }
263     if (SSL_set_fd(ssl, fd) == 0) {
264         VLOG_ERR("SSL_set_fd: %s", ERR_error_string(ERR_get_error(), NULL));
265         retval = ENOPROTOOPT;
266         goto error;
267     }
268     if (!verify_peer_cert || (bootstrap_ca_cert && type == CLIENT)) {
269         SSL_set_verify(ssl, SSL_VERIFY_NONE, NULL);
270     }
271
272     /* Create and return the ssl_stream. */
273     sslv = xmalloc(sizeof *sslv);
274     stream_init(&sslv->stream, &ssl_stream_class, EAGAIN, name);
275     stream_set_remote_ip(&sslv->stream, remote->sin_addr.s_addr);
276     stream_set_remote_port(&sslv->stream, remote->sin_port);
277     stream_set_local_ip(&sslv->stream, local.sin_addr.s_addr);
278     stream_set_local_port(&sslv->stream, local.sin_port);
279     sslv->state = state;
280     sslv->type = type;
281     sslv->fd = fd;
282     sslv->ssl = ssl;
283     sslv->txbuf = NULL;
284     sslv->rx_want = sslv->tx_want = SSL_NOTHING;
285     sslv->session_nr = next_session_nr++;
286     sslv->n_head = 0;
287
288     if (VLOG_IS_DBG_ENABLED()) {
289         SSL_set_msg_callback(ssl, ssl_protocol_cb);
290         SSL_set_msg_callback_arg(ssl, sslv);
291     }
292
293     *streamp = &sslv->stream;
294     return 0;
295
296 error:
297     if (ssl) {
298         SSL_free(ssl);
299     }
300     close(fd);
301     return retval;
302 }
303
304 static struct ssl_stream *
305 ssl_stream_cast(struct stream *stream)
306 {
307     stream_assert_class(stream, &ssl_stream_class);
308     return CONTAINER_OF(stream, struct ssl_stream, stream);
309 }
310
311 static int
312 ssl_open(const char *name, char *suffix, struct stream **streamp, uint8_t dscp)
313 {
314     struct sockaddr_in sin;
315     int error, fd;
316
317     error = ssl_init();
318     if (error) {
319         return error;
320     }
321
322     error = inet_open_active(SOCK_STREAM, suffix, OFP_SSL_PORT, &sin, &fd,
323                              dscp);
324     if (fd >= 0) {
325         int state = error ? STATE_TCP_CONNECTING : STATE_SSL_CONNECTING;
326         return new_ssl_stream(name, fd, CLIENT, state, &sin, streamp);
327     } else {
328         VLOG_ERR("%s: connect: %s", name, strerror(error));
329         return error;
330     }
331 }
332
333 static int
334 do_ca_cert_bootstrap(struct stream *stream)
335 {
336     struct ssl_stream *sslv = ssl_stream_cast(stream);
337     STACK_OF(X509) *chain;
338     X509 *cert;
339     FILE *file;
340     int error;
341     int fd;
342
343     chain = SSL_get_peer_cert_chain(sslv->ssl);
344     if (!chain || !sk_X509_num(chain)) {
345         VLOG_ERR("could not bootstrap CA cert: no certificate presented by "
346                  "peer");
347         return EPROTO;
348     }
349     cert = sk_X509_value(chain, sk_X509_num(chain) - 1);
350
351     /* Check that 'cert' is self-signed.  Otherwise it is not a CA
352      * certificate and we should not attempt to use it as one. */
353     error = X509_check_issued(cert, cert);
354     if (error) {
355         VLOG_ERR("could not bootstrap CA cert: obtained certificate is "
356                  "not self-signed (%s)",
357                  X509_verify_cert_error_string(error));
358         if (sk_X509_num(chain) < 2) {
359             VLOG_ERR("only one certificate was received, so probably the peer "
360                      "is not configured to send its CA certificate");
361         }
362         return EPROTO;
363     }
364
365     fd = open(ca_cert.file_name, O_CREAT | O_EXCL | O_WRONLY, 0444);
366     if (fd < 0) {
367         if (errno == EEXIST) {
368             VLOG_INFO_RL(&rl, "reading CA cert %s created by another process",
369                          ca_cert.file_name);
370             stream_ssl_set_ca_cert_file__(ca_cert.file_name, true, true);
371             return EPROTO;
372         } else {
373             VLOG_ERR("could not bootstrap CA cert: creating %s failed: %s",
374                      ca_cert.file_name, strerror(errno));
375             return errno;
376         }
377     }
378
379     file = fdopen(fd, "w");
380     if (!file) {
381         error = errno;
382         VLOG_ERR("could not bootstrap CA cert: fdopen failed: %s",
383                  strerror(error));
384         unlink(ca_cert.file_name);
385         return error;
386     }
387
388     if (!PEM_write_X509(file, cert)) {
389         VLOG_ERR("could not bootstrap CA cert: PEM_write_X509 to %s failed: "
390                  "%s", ca_cert.file_name,
391                  ERR_error_string(ERR_get_error(), NULL));
392         fclose(file);
393         unlink(ca_cert.file_name);
394         return EIO;
395     }
396
397     if (fclose(file)) {
398         error = errno;
399         VLOG_ERR("could not bootstrap CA cert: writing %s failed: %s",
400                  ca_cert.file_name, strerror(error));
401         unlink(ca_cert.file_name);
402         return error;
403     }
404
405     VLOG_INFO("successfully bootstrapped CA cert to %s", ca_cert.file_name);
406     log_ca_cert(ca_cert.file_name, cert);
407     bootstrap_ca_cert = false;
408     ca_cert.read = true;
409
410     /* SSL_CTX_add_client_CA makes a copy of cert's relevant data. */
411     SSL_CTX_add_client_CA(ctx, cert);
412
413     /* SSL_CTX_use_certificate() takes ownership of the certificate passed in.
414      * 'cert' is owned by sslv->ssl, so we need to duplicate it. */
415     cert = X509_dup(cert);
416     if (!cert) {
417         out_of_memory();
418     }
419     SSL_CTX_set_cert_store(ctx, X509_STORE_new());
420     if (SSL_CTX_load_verify_locations(ctx, ca_cert.file_name, NULL) != 1) {
421         VLOG_ERR("SSL_CTX_load_verify_locations: %s",
422                  ERR_error_string(ERR_get_error(), NULL));
423         return EPROTO;
424     }
425     VLOG_INFO("killing successful connection to retry using CA cert");
426     return EPROTO;
427 }
428
429 static int
430 ssl_connect(struct stream *stream)
431 {
432     struct ssl_stream *sslv = ssl_stream_cast(stream);
433     int retval;
434
435     switch (sslv->state) {
436     case STATE_TCP_CONNECTING:
437         retval = check_connection_completion(sslv->fd);
438         if (retval) {
439             return retval;
440         }
441         sslv->state = STATE_SSL_CONNECTING;
442         /* Fall through. */
443
444     case STATE_SSL_CONNECTING:
445         /* Capture the first few bytes of received data so that we can guess
446          * what kind of funny data we've been sent if SSL negotation fails. */
447         if (sslv->n_head <= 0) {
448             sslv->n_head = recv(sslv->fd, sslv->head, sizeof sslv->head,
449                                 MSG_PEEK);
450         }
451
452         retval = (sslv->type == CLIENT
453                    ? SSL_connect(sslv->ssl) : SSL_accept(sslv->ssl));
454         if (retval != 1) {
455             int error = SSL_get_error(sslv->ssl, retval);
456             if (retval < 0 && ssl_wants_io(error)) {
457                 return EAGAIN;
458             } else {
459                 int unused;
460
461                 interpret_ssl_error((sslv->type == CLIENT ? "SSL_connect"
462                                      : "SSL_accept"), retval, error, &unused);
463                 shutdown(sslv->fd, SHUT_RDWR);
464                 stream_report_content(sslv->head, sslv->n_head, STREAM_SSL,
465                                       THIS_MODULE, stream_get_name(stream));
466                 return EPROTO;
467             }
468         } else if (bootstrap_ca_cert) {
469             return do_ca_cert_bootstrap(stream);
470         } else if (verify_peer_cert
471                    && ((SSL_get_verify_mode(sslv->ssl)
472                        & (SSL_VERIFY_NONE | SSL_VERIFY_PEER))
473                        != SSL_VERIFY_PEER)) {
474             /* Two or more SSL connections completed at the same time while we
475              * were in bootstrap mode.  Only one of these can finish the
476              * bootstrap successfully.  The other one(s) must be rejected
477              * because they were not verified against the bootstrapped CA
478              * certificate.  (Alternatively we could verify them against the CA
479              * certificate, but that's more trouble than it's worth.  These
480              * connections will succeed the next time they retry, assuming that
481              * they have a certificate against the correct CA.) */
482             VLOG_INFO("rejecting SSL connection during bootstrap race window");
483             return EPROTO;
484         } else {
485             return 0;
486         }
487     }
488
489     NOT_REACHED();
490 }
491
492 static void
493 ssl_close(struct stream *stream)
494 {
495     struct ssl_stream *sslv = ssl_stream_cast(stream);
496     ssl_clear_txbuf(sslv);
497
498     /* Attempt clean shutdown of the SSL connection.  This will work most of
499      * the time, as long as the kernel send buffer has some free space and the
500      * SSL connection isn't renegotiating, etc.  That has to be good enough,
501      * since we don't have any way to continue the close operation in the
502      * background. */
503     SSL_shutdown(sslv->ssl);
504
505     /* SSL_shutdown() might have signaled an error, in which case we need to
506      * flush it out of the OpenSSL error queue or the next OpenSSL operation
507      * will falsely signal an error. */
508     ERR_clear_error();
509
510     SSL_free(sslv->ssl);
511     close(sslv->fd);
512     free(sslv);
513 }
514
515 static void
516 interpret_queued_ssl_error(const char *function)
517 {
518     int queued_error = ERR_get_error();
519     if (queued_error != 0) {
520         VLOG_WARN_RL(&rl, "%s: %s",
521                      function, ERR_error_string(queued_error, NULL));
522     } else {
523         VLOG_ERR_RL(&rl, "%s: SSL_ERROR_SSL without queued error", function);
524     }
525 }
526
527 static int
528 interpret_ssl_error(const char *function, int ret, int error,
529                     int *want)
530 {
531     *want = SSL_NOTHING;
532
533     switch (error) {
534     case SSL_ERROR_NONE:
535         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_NONE", function);
536         break;
537
538     case SSL_ERROR_ZERO_RETURN:
539         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_ZERO_RETURN", function);
540         break;
541
542     case SSL_ERROR_WANT_READ:
543         *want = SSL_READING;
544         return EAGAIN;
545
546     case SSL_ERROR_WANT_WRITE:
547         *want = SSL_WRITING;
548         return EAGAIN;
549
550     case SSL_ERROR_WANT_CONNECT:
551         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_CONNECT", function);
552         break;
553
554     case SSL_ERROR_WANT_ACCEPT:
555         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_ACCEPT", function);
556         break;
557
558     case SSL_ERROR_WANT_X509_LOOKUP:
559         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_X509_LOOKUP",
560                     function);
561         break;
562
563     case SSL_ERROR_SYSCALL: {
564         int queued_error = ERR_get_error();
565         if (queued_error == 0) {
566             if (ret < 0) {
567                 int status = errno;
568                 VLOG_WARN_RL(&rl, "%s: system error (%s)",
569                              function, strerror(status));
570                 return status;
571             } else {
572                 VLOG_WARN_RL(&rl, "%s: unexpected SSL connection close",
573                              function);
574                 return EPROTO;
575             }
576         } else {
577             VLOG_WARN_RL(&rl, "%s: %s",
578                          function, ERR_error_string(queued_error, NULL));
579             break;
580         }
581     }
582
583     case SSL_ERROR_SSL:
584         interpret_queued_ssl_error(function);
585         break;
586
587     default:
588         VLOG_ERR_RL(&rl, "%s: bad SSL error code %d", function, error);
589         break;
590     }
591     return EIO;
592 }
593
594 static ssize_t
595 ssl_recv(struct stream *stream, void *buffer, size_t n)
596 {
597     struct ssl_stream *sslv = ssl_stream_cast(stream);
598     int old_state;
599     ssize_t ret;
600
601     /* Behavior of zero-byte SSL_read is poorly defined. */
602     assert(n > 0);
603
604     old_state = SSL_get_state(sslv->ssl);
605     ret = SSL_read(sslv->ssl, buffer, n);
606     if (old_state != SSL_get_state(sslv->ssl)) {
607         sslv->tx_want = SSL_NOTHING;
608     }
609     sslv->rx_want = SSL_NOTHING;
610
611     if (ret > 0) {
612         return ret;
613     } else {
614         int error = SSL_get_error(sslv->ssl, ret);
615         if (error == SSL_ERROR_ZERO_RETURN) {
616             return 0;
617         } else {
618             return -interpret_ssl_error("SSL_read", ret, error,
619                                         &sslv->rx_want);
620         }
621     }
622 }
623
624 static void
625 ssl_clear_txbuf(struct ssl_stream *sslv)
626 {
627     ofpbuf_delete(sslv->txbuf);
628     sslv->txbuf = NULL;
629 }
630
631 static int
632 ssl_do_tx(struct stream *stream)
633 {
634     struct ssl_stream *sslv = ssl_stream_cast(stream);
635
636     for (;;) {
637         int old_state = SSL_get_state(sslv->ssl);
638         int ret = SSL_write(sslv->ssl, sslv->txbuf->data, sslv->txbuf->size);
639         if (old_state != SSL_get_state(sslv->ssl)) {
640             sslv->rx_want = SSL_NOTHING;
641         }
642         sslv->tx_want = SSL_NOTHING;
643         if (ret > 0) {
644             ofpbuf_pull(sslv->txbuf, ret);
645             if (sslv->txbuf->size == 0) {
646                 return 0;
647             }
648         } else {
649             int ssl_error = SSL_get_error(sslv->ssl, ret);
650             if (ssl_error == SSL_ERROR_ZERO_RETURN) {
651                 VLOG_WARN_RL(&rl, "SSL_write: connection closed");
652                 return EPIPE;
653             } else {
654                 return interpret_ssl_error("SSL_write", ret, ssl_error,
655                                            &sslv->tx_want);
656             }
657         }
658     }
659 }
660
661 static ssize_t
662 ssl_send(struct stream *stream, const void *buffer, size_t n)
663 {
664     struct ssl_stream *sslv = ssl_stream_cast(stream);
665
666     if (sslv->txbuf) {
667         return -EAGAIN;
668     } else {
669         int error;
670
671         sslv->txbuf = ofpbuf_clone_data(buffer, n);
672         error = ssl_do_tx(stream);
673         switch (error) {
674         case 0:
675             ssl_clear_txbuf(sslv);
676             return n;
677         case EAGAIN:
678             leak_checker_claim(buffer);
679             return n;
680         default:
681             sslv->txbuf = NULL;
682             return -error;
683         }
684     }
685 }
686
687 static void
688 ssl_run(struct stream *stream)
689 {
690     struct ssl_stream *sslv = ssl_stream_cast(stream);
691
692     if (sslv->txbuf && ssl_do_tx(stream) != EAGAIN) {
693         ssl_clear_txbuf(sslv);
694     }
695 }
696
697 static void
698 ssl_run_wait(struct stream *stream)
699 {
700     struct ssl_stream *sslv = ssl_stream_cast(stream);
701
702     if (sslv->tx_want != SSL_NOTHING) {
703         poll_fd_wait(sslv->fd, want_to_poll_events(sslv->tx_want));
704     }
705 }
706
707 static void
708 ssl_wait(struct stream *stream, enum stream_wait_type wait)
709 {
710     struct ssl_stream *sslv = ssl_stream_cast(stream);
711
712     switch (wait) {
713     case STREAM_CONNECT:
714         if (stream_connect(stream) != EAGAIN) {
715             poll_immediate_wake();
716         } else {
717             switch (sslv->state) {
718             case STATE_TCP_CONNECTING:
719                 poll_fd_wait(sslv->fd, POLLOUT);
720                 break;
721
722             case STATE_SSL_CONNECTING:
723                 /* ssl_connect() called SSL_accept() or SSL_connect(), which
724                  * set up the status that we test here. */
725                 poll_fd_wait(sslv->fd,
726                              want_to_poll_events(SSL_want(sslv->ssl)));
727                 break;
728
729             default:
730                 NOT_REACHED();
731             }
732         }
733         break;
734
735     case STREAM_RECV:
736         if (sslv->rx_want != SSL_NOTHING) {
737             poll_fd_wait(sslv->fd, want_to_poll_events(sslv->rx_want));
738         } else {
739             poll_immediate_wake();
740         }
741         break;
742
743     case STREAM_SEND:
744         if (!sslv->txbuf) {
745             /* We have room in our tx queue. */
746             poll_immediate_wake();
747         } else {
748             /* stream_run_wait() will do the right thing; don't bother with
749              * redundancy. */
750         }
751         break;
752
753     default:
754         NOT_REACHED();
755     }
756 }
757
758 const struct stream_class ssl_stream_class = {
759     "ssl",                      /* name */
760     true,                       /* needs_probes */
761     ssl_open,                   /* open */
762     ssl_close,                  /* close */
763     ssl_connect,                /* connect */
764     ssl_recv,                   /* recv */
765     ssl_send,                   /* send */
766     ssl_run,                    /* run */
767     ssl_run_wait,               /* run_wait */
768     ssl_wait,                   /* wait */
769 };
770 \f
771 /* Passive SSL. */
772
773 struct pssl_pstream
774 {
775     struct pstream pstream;
776     int fd;
777 };
778
779 const struct pstream_class pssl_pstream_class;
780
781 static struct pssl_pstream *
782 pssl_pstream_cast(struct pstream *pstream)
783 {
784     pstream_assert_class(pstream, &pssl_pstream_class);
785     return CONTAINER_OF(pstream, struct pssl_pstream, pstream);
786 }
787
788 static int
789 pssl_open(const char *name OVS_UNUSED, char *suffix, struct pstream **pstreamp,
790           uint8_t dscp)
791 {
792     struct pssl_pstream *pssl;
793     struct sockaddr_in sin;
794     char bound_name[128];
795     int retval;
796     int fd;
797
798     retval = ssl_init();
799     if (retval) {
800         return retval;
801     }
802
803     fd = inet_open_passive(SOCK_STREAM, suffix, OFP_SSL_PORT, &sin, dscp);
804     if (fd < 0) {
805         return -fd;
806     }
807     sprintf(bound_name, "pssl:%"PRIu16":"IP_FMT,
808             ntohs(sin.sin_port), IP_ARGS(sin.sin_addr.s_addr));
809
810     pssl = xmalloc(sizeof *pssl);
811     pstream_init(&pssl->pstream, &pssl_pstream_class, bound_name);
812     pssl->fd = fd;
813     *pstreamp = &pssl->pstream;
814     return 0;
815 }
816
817 static void
818 pssl_close(struct pstream *pstream)
819 {
820     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
821     close(pssl->fd);
822     free(pssl);
823 }
824
825 static int
826 pssl_accept(struct pstream *pstream, struct stream **new_streamp)
827 {
828     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
829     struct sockaddr_in sin;
830     socklen_t sin_len = sizeof sin;
831     char name[128];
832     int new_fd;
833     int error;
834
835     new_fd = accept(pssl->fd, (struct sockaddr *) &sin, &sin_len);
836     if (new_fd < 0) {
837         error = errno;
838         if (error != EAGAIN) {
839             VLOG_DBG_RL(&rl, "accept: %s", strerror(error));
840         }
841         return error;
842     }
843
844     error = set_nonblocking(new_fd);
845     if (error) {
846         close(new_fd);
847         return error;
848     }
849
850     sprintf(name, "ssl:"IP_FMT, IP_ARGS(sin.sin_addr.s_addr));
851     if (sin.sin_port != htons(OFP_SSL_PORT)) {
852         sprintf(strchr(name, '\0'), ":%"PRIu16, ntohs(sin.sin_port));
853     }
854     return new_ssl_stream(name, new_fd, SERVER, STATE_SSL_CONNECTING, &sin,
855                           new_streamp);
856 }
857
858 static void
859 pssl_wait(struct pstream *pstream)
860 {
861     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
862     poll_fd_wait(pssl->fd, POLLIN);
863 }
864
865 static int
866 pssl_set_dscp(struct pstream *pstream, uint8_t dscp)
867 {
868     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
869     return set_dscp(pssl->fd, dscp);
870 }
871
872 const struct pstream_class pssl_pstream_class = {
873     "pssl",
874     true,
875     pssl_open,
876     pssl_close,
877     pssl_accept,
878     pssl_wait,
879     pssl_set_dscp,
880 };
881 \f
882 /*
883  * Returns true if OpenSSL error is WANT_READ or WANT_WRITE, indicating that
884  * OpenSSL is requesting that we call it back when the socket is ready for read
885  * or writing, respectively.
886  */
887 static bool
888 ssl_wants_io(int ssl_error)
889 {
890     return (ssl_error == SSL_ERROR_WANT_WRITE
891             || ssl_error == SSL_ERROR_WANT_READ);
892 }
893
894 static int
895 ssl_init(void)
896 {
897     static int init_status = -1;
898     if (init_status < 0) {
899         init_status = do_ssl_init();
900         assert(init_status >= 0);
901     }
902     return init_status;
903 }
904
905 static int
906 do_ssl_init(void)
907 {
908     SSL_METHOD *method;
909
910     SSL_library_init();
911     SSL_load_error_strings();
912
913     if (!RAND_status()) {
914         /* We occasionally see OpenSSL fail to seed its random number generator
915          * in heavily loaded hypervisors.  I suspect the following scenario:
916          *
917          * 1. OpenSSL calls read() to get 32 bytes from /dev/urandom.
918          * 2. The kernel generates 10 bytes of randomness and copies it out.
919          * 3. A signal arrives (perhaps SIGALRM).
920          * 4. The kernel interrupts the system call to service the signal.
921          * 5. Userspace gets 10 bytes of entropy.
922          * 6. OpenSSL doesn't read again to get the final 22 bytes.  Therefore
923          *    OpenSSL doesn't have enough entropy to consider itself
924          *    initialized.
925          *
926          * The only part I'm not entirely sure about is #6, because the OpenSSL
927          * code is so hard to read. */
928         uint8_t seed[32];
929         int retval;
930
931         VLOG_WARN("OpenSSL random seeding failed, reseeding ourselves");
932
933         retval = get_entropy(seed, sizeof seed);
934         if (retval) {
935             VLOG_ERR("failed to obtain entropy (%s)",
936                      ovs_retval_to_string(retval));
937             return retval > 0 ? retval : ENOPROTOOPT;
938         }
939
940         RAND_seed(seed, sizeof seed);
941     }
942
943     /* New OpenSSL changed TLSv1_method() to return a "const" pointer, so the
944      * cast is needed to avoid a warning with those newer versions. */
945     method = CONST_CAST(SSL_METHOD *, TLSv1_method());
946     if (method == NULL) {
947         VLOG_ERR("TLSv1_method: %s", ERR_error_string(ERR_get_error(), NULL));
948         return ENOPROTOOPT;
949     }
950
951     ctx = SSL_CTX_new(method);
952     if (ctx == NULL) {
953         VLOG_ERR("SSL_CTX_new: %s", ERR_error_string(ERR_get_error(), NULL));
954         return ENOPROTOOPT;
955     }
956     SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
957     SSL_CTX_set_tmp_dh_callback(ctx, tmp_dh_callback);
958     SSL_CTX_set_mode(ctx, SSL_MODE_ENABLE_PARTIAL_WRITE);
959     SSL_CTX_set_mode(ctx, SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER);
960     SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
961                        NULL);
962
963     return 0;
964 }
965
966 static DH *
967 tmp_dh_callback(SSL *ssl OVS_UNUSED, int is_export OVS_UNUSED, int keylength)
968 {
969     struct dh {
970         int keylength;
971         DH *dh;
972         DH *(*constructor)(void);
973     };
974
975     static struct dh dh_table[] = {
976         {1024, NULL, get_dh1024},
977         {2048, NULL, get_dh2048},
978         {4096, NULL, get_dh4096},
979     };
980
981     struct dh *dh;
982
983     for (dh = dh_table; dh < &dh_table[ARRAY_SIZE(dh_table)]; dh++) {
984         if (dh->keylength == keylength) {
985             if (!dh->dh) {
986                 dh->dh = dh->constructor();
987                 if (!dh->dh) {
988                     out_of_memory();
989                 }
990             }
991             return dh->dh;
992         }
993     }
994     VLOG_ERR_RL(&rl, "no Diffie-Hellman parameters for key length %d",
995                 keylength);
996     return NULL;
997 }
998
999 /* Returns true if SSL is at least partially configured. */
1000 bool
1001 stream_ssl_is_configured(void)
1002 {
1003     return private_key.file_name || certificate.file_name || ca_cert.file_name;
1004 }
1005
1006 static bool
1007 update_ssl_config(struct ssl_config_file *config, const char *file_name)
1008 {
1009     struct timespec mtime;
1010     int error;
1011
1012     if (ssl_init() || !file_name) {
1013         return false;
1014     }
1015
1016     /* If the file name hasn't changed and neither has the file contents, stop
1017      * here. */
1018     error = get_mtime(file_name, &mtime);
1019     if (error && error != ENOENT) {
1020         VLOG_ERR_RL(&rl, "%s: stat failed (%s)", file_name, strerror(error));
1021     }
1022     if (config->file_name
1023         && !strcmp(config->file_name, file_name)
1024         && mtime.tv_sec == config->mtime.tv_sec
1025         && mtime.tv_nsec == config->mtime.tv_nsec) {
1026         return false;
1027     }
1028
1029     /* Update 'config'. */
1030     config->mtime = mtime;
1031     if (file_name != config->file_name) {
1032         free(config->file_name);
1033         config->file_name = xstrdup(file_name);
1034     }
1035     return true;
1036 }
1037
1038 static void
1039 stream_ssl_set_private_key_file__(const char *file_name)
1040 {
1041     if (SSL_CTX_use_PrivateKey_file(ctx, file_name, SSL_FILETYPE_PEM) == 1) {
1042         private_key.read = true;
1043     } else {
1044         VLOG_ERR("SSL_use_PrivateKey_file: %s",
1045                  ERR_error_string(ERR_get_error(), NULL));
1046     }
1047 }
1048
1049 void
1050 stream_ssl_set_private_key_file(const char *file_name)
1051 {
1052     if (update_ssl_config(&private_key, file_name)) {
1053         stream_ssl_set_private_key_file__(file_name);
1054     }
1055 }
1056
1057 static void
1058 stream_ssl_set_certificate_file__(const char *file_name)
1059 {
1060     if (SSL_CTX_use_certificate_chain_file(ctx, file_name) == 1) {
1061         certificate.read = true;
1062     } else {
1063         VLOG_ERR("SSL_use_certificate_file: %s",
1064                  ERR_error_string(ERR_get_error(), NULL));
1065     }
1066 }
1067
1068 void
1069 stream_ssl_set_certificate_file(const char *file_name)
1070 {
1071     if (update_ssl_config(&certificate, file_name)) {
1072         stream_ssl_set_certificate_file__(file_name);
1073     }
1074 }
1075
1076 /* Sets the private key and certificate files in one operation.  Use this
1077  * interface, instead of calling stream_ssl_set_private_key_file() and
1078  * stream_ssl_set_certificate_file() individually, in the main loop of a
1079  * long-running program whose key and certificate might change at runtime.
1080  *
1081  * This is important because of OpenSSL's behavior.  If an OpenSSL context
1082  * already has a certificate, and stream_ssl_set_private_key_file() is called
1083  * to install a new private key, OpenSSL will report an error because the new
1084  * private key does not match the old certificate.  The other order, of setting
1085  * a new certificate, then setting a new private key, does work.
1086  *
1087  * If this were the only problem, calling stream_ssl_set_certificate_file()
1088  * before stream_ssl_set_private_key_file() would fix it.  But, if the private
1089  * key is changed before the certificate (e.g. someone "scp"s or "mv"s the new
1090  * private key in place before the certificate), then OpenSSL would reject that
1091  * change, and then the change of certificate would succeed, but there would be
1092  * no associated private key (because it had only changed once and therefore
1093  * there was no point in re-reading it).
1094  *
1095  * This function avoids both problems by, whenever either the certificate or
1096  * the private key file changes, re-reading both of them, in the correct order.
1097  */
1098 void
1099 stream_ssl_set_key_and_cert(const char *private_key_file,
1100                             const char *certificate_file)
1101 {
1102     if (update_ssl_config(&private_key, private_key_file)
1103         || update_ssl_config(&certificate, certificate_file)) {
1104         stream_ssl_set_certificate_file__(certificate_file);
1105         stream_ssl_set_private_key_file__(private_key_file);
1106     }
1107 }
1108
1109 /* Reads the X509 certificate or certificates in file 'file_name'.  On success,
1110  * stores the address of the first element in an array of pointers to
1111  * certificates in '*certs' and the number of certificates in the array in
1112  * '*n_certs', and returns 0.  On failure, stores a null pointer in '*certs', 0
1113  * in '*n_certs', and returns a positive errno value.
1114  *
1115  * The caller is responsible for freeing '*certs'. */
1116 static int
1117 read_cert_file(const char *file_name, X509 ***certs, size_t *n_certs)
1118 {
1119     FILE *file;
1120     size_t allocated_certs = 0;
1121
1122     *certs = NULL;
1123     *n_certs = 0;
1124
1125     file = fopen(file_name, "r");
1126     if (!file) {
1127         VLOG_ERR("failed to open %s for reading: %s",
1128                  file_name, strerror(errno));
1129         return errno;
1130     }
1131
1132     for (;;) {
1133         X509 *certificate;
1134         int c;
1135
1136         /* Read certificate from file. */
1137         certificate = PEM_read_X509(file, NULL, NULL, NULL);
1138         if (!certificate) {
1139             size_t i;
1140
1141             VLOG_ERR("PEM_read_X509 failed reading %s: %s",
1142                      file_name, ERR_error_string(ERR_get_error(), NULL));
1143             for (i = 0; i < *n_certs; i++) {
1144                 X509_free((*certs)[i]);
1145             }
1146             free(*certs);
1147             *certs = NULL;
1148             *n_certs = 0;
1149             return EIO;
1150         }
1151
1152         /* Add certificate to array. */
1153         if (*n_certs >= allocated_certs) {
1154             *certs = x2nrealloc(*certs, &allocated_certs, sizeof **certs);
1155         }
1156         (*certs)[(*n_certs)++] = certificate;
1157
1158         /* Are there additional certificates in the file? */
1159         do {
1160             c = getc(file);
1161         } while (isspace(c));
1162         if (c == EOF) {
1163             break;
1164         }
1165         ungetc(c, file);
1166     }
1167     fclose(file);
1168     return 0;
1169 }
1170
1171
1172 /* Sets 'file_name' as the name of a file containing one or more X509
1173  * certificates to send to the peer.  Typical use in OpenFlow is to send the CA
1174  * certificate to the peer, which enables a switch to pick up the controller's
1175  * CA certificate on its first connection. */
1176 void
1177 stream_ssl_set_peer_ca_cert_file(const char *file_name)
1178 {
1179     X509 **certs;
1180     size_t n_certs;
1181     size_t i;
1182
1183     if (ssl_init()) {
1184         return;
1185     }
1186
1187     if (!read_cert_file(file_name, &certs, &n_certs)) {
1188         for (i = 0; i < n_certs; i++) {
1189             if (SSL_CTX_add_extra_chain_cert(ctx, certs[i]) != 1) {
1190                 VLOG_ERR("SSL_CTX_add_extra_chain_cert: %s",
1191                          ERR_error_string(ERR_get_error(), NULL));
1192             }
1193         }
1194         free(certs);
1195     }
1196 }
1197
1198 /* Logs fingerprint of CA certificate 'cert' obtained from 'file_name'. */
1199 static void
1200 log_ca_cert(const char *file_name, X509 *cert)
1201 {
1202     unsigned char digest[EVP_MAX_MD_SIZE];
1203     unsigned int n_bytes;
1204     struct ds fp;
1205     char *subject;
1206
1207     ds_init(&fp);
1208     if (!X509_digest(cert, EVP_sha1(), digest, &n_bytes)) {
1209         ds_put_cstr(&fp, "<out of memory>");
1210     } else {
1211         unsigned int i;
1212         for (i = 0; i < n_bytes; i++) {
1213             if (i) {
1214                 ds_put_char(&fp, ':');
1215             }
1216             ds_put_format(&fp, "%02hhx", digest[i]);
1217         }
1218     }
1219     subject = X509_NAME_oneline(X509_get_subject_name(cert), NULL, 0);
1220     VLOG_INFO("Trusting CA cert from %s (%s) (fingerprint %s)", file_name,
1221               subject ? subject : "<out of memory>", ds_cstr(&fp));
1222     OPENSSL_free(subject);
1223     ds_destroy(&fp);
1224 }
1225
1226 static void
1227 stream_ssl_set_ca_cert_file__(const char *file_name,
1228                               bool bootstrap, bool force)
1229 {
1230     X509 **certs;
1231     size_t n_certs;
1232     struct stat s;
1233
1234     if (!update_ssl_config(&ca_cert, file_name) && !force) {
1235         return;
1236     }
1237
1238     if (!strcmp(file_name, "none")) {
1239         verify_peer_cert = false;
1240         VLOG_WARN("Peer certificate validation disabled "
1241                   "(this is a security risk)");
1242     } else if (bootstrap && stat(file_name, &s) && errno == ENOENT) {
1243         bootstrap_ca_cert = true;
1244     } else if (!read_cert_file(file_name, &certs, &n_certs)) {
1245         size_t i;
1246
1247         /* Set up list of CAs that the server will accept from the client. */
1248         for (i = 0; i < n_certs; i++) {
1249             /* SSL_CTX_add_client_CA makes a copy of the relevant data. */
1250             if (SSL_CTX_add_client_CA(ctx, certs[i]) != 1) {
1251                 VLOG_ERR("failed to add client certificate %zu from %s: %s",
1252                          i, file_name,
1253                          ERR_error_string(ERR_get_error(), NULL));
1254             } else {
1255                 log_ca_cert(file_name, certs[i]);
1256             }
1257             X509_free(certs[i]);
1258         }
1259         free(certs);
1260
1261         /* Set up CAs for OpenSSL to trust in verifying the peer's
1262          * certificate. */
1263         SSL_CTX_set_cert_store(ctx, X509_STORE_new());
1264         if (SSL_CTX_load_verify_locations(ctx, file_name, NULL) != 1) {
1265             VLOG_ERR("SSL_CTX_load_verify_locations: %s",
1266                      ERR_error_string(ERR_get_error(), NULL));
1267             return;
1268         }
1269
1270         bootstrap_ca_cert = false;
1271     }
1272     ca_cert.read = true;
1273 }
1274
1275 /* Sets 'file_name' as the name of the file from which to read the CA
1276  * certificate used to verify the peer within SSL connections.  If 'bootstrap'
1277  * is false, the file must exist.  If 'bootstrap' is false, then the file is
1278  * read if it is exists; if it does not, then it will be created from the CA
1279  * certificate received from the peer on the first SSL connection. */
1280 void
1281 stream_ssl_set_ca_cert_file(const char *file_name, bool bootstrap)
1282 {
1283     stream_ssl_set_ca_cert_file__(file_name, bootstrap, false);
1284 }
1285 \f
1286 /* SSL protocol logging. */
1287
1288 static const char *
1289 ssl_alert_level_to_string(uint8_t type)
1290 {
1291     switch (type) {
1292     case 1: return "warning";
1293     case 2: return "fatal";
1294     default: return "<unknown>";
1295     }
1296 }
1297
1298 static const char *
1299 ssl_alert_description_to_string(uint8_t type)
1300 {
1301     switch (type) {
1302     case 0: return "close_notify";
1303     case 10: return "unexpected_message";
1304     case 20: return "bad_record_mac";
1305     case 21: return "decryption_failed";
1306     case 22: return "record_overflow";
1307     case 30: return "decompression_failure";
1308     case 40: return "handshake_failure";
1309     case 42: return "bad_certificate";
1310     case 43: return "unsupported_certificate";
1311     case 44: return "certificate_revoked";
1312     case 45: return "certificate_expired";
1313     case 46: return "certificate_unknown";
1314     case 47: return "illegal_parameter";
1315     case 48: return "unknown_ca";
1316     case 49: return "access_denied";
1317     case 50: return "decode_error";
1318     case 51: return "decrypt_error";
1319     case 60: return "export_restriction";
1320     case 70: return "protocol_version";
1321     case 71: return "insufficient_security";
1322     case 80: return "internal_error";
1323     case 90: return "user_canceled";
1324     case 100: return "no_renegotiation";
1325     default: return "<unknown>";
1326     }
1327 }
1328
1329 static const char *
1330 ssl_handshake_type_to_string(uint8_t type)
1331 {
1332     switch (type) {
1333     case 0: return "hello_request";
1334     case 1: return "client_hello";
1335     case 2: return "server_hello";
1336     case 11: return "certificate";
1337     case 12: return "server_key_exchange";
1338     case 13: return "certificate_request";
1339     case 14: return "server_hello_done";
1340     case 15: return "certificate_verify";
1341     case 16: return "client_key_exchange";
1342     case 20: return "finished";
1343     default: return "<unknown>";
1344     }
1345 }
1346
1347 static void
1348 ssl_protocol_cb(int write_p, int version OVS_UNUSED, int content_type,
1349                 const void *buf_, size_t len, SSL *ssl OVS_UNUSED, void *sslv_)
1350 {
1351     const struct ssl_stream *sslv = sslv_;
1352     const uint8_t *buf = buf_;
1353     struct ds details;
1354
1355     if (!VLOG_IS_DBG_ENABLED()) {
1356         return;
1357     }
1358
1359     ds_init(&details);
1360     if (content_type == 20) {
1361         ds_put_cstr(&details, "change_cipher_spec");
1362     } else if (content_type == 21) {
1363         ds_put_format(&details, "alert: %s, %s",
1364                       ssl_alert_level_to_string(buf[0]),
1365                       ssl_alert_description_to_string(buf[1]));
1366     } else if (content_type == 22) {
1367         ds_put_format(&details, "handshake: %s",
1368                       ssl_handshake_type_to_string(buf[0]));
1369     } else {
1370         ds_put_format(&details, "type %d", content_type);
1371     }
1372
1373     VLOG_DBG("%s%u%s%s %s (%zu bytes)",
1374              sslv->type == CLIENT ? "client" : "server",
1375              sslv->session_nr, write_p ? "-->" : "<--",
1376              stream_get_name(&sslv->stream), ds_cstr(&details), len);
1377
1378     ds_destroy(&details);
1379 }