ofp-msgs: Split OFPRAW_OFPST_AGGREGATE_REQUEST
[sliver-openvswitch.git] / lib / stream-ssl.c
1 /*
2  * Copyright (c) 2008, 2009, 2010, 2011, 2012 Nicira, Inc.
3  *
4  * Licensed under the Apache License, Version 2.0 (the "License");
5  * you may not use this file except in compliance with the License.
6  * You may obtain a copy of the License at:
7  *
8  *     http://www.apache.org/licenses/LICENSE-2.0
9  *
10  * Unless required by applicable law or agreed to in writing, software
11  * distributed under the License is distributed on an "AS IS" BASIS,
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
13  * See the License for the specific language governing permissions and
14  * limitations under the License.
15  */
16
17 #include <config.h>
18 #include "stream-ssl.h"
19 #include "dhparams.h"
20 #include <assert.h>
21 #include <ctype.h>
22 #include <errno.h>
23 #include <inttypes.h>
24 #include <string.h>
25 #include <sys/types.h>
26 #include <sys/socket.h>
27 #include <netinet/tcp.h>
28 #include <openssl/err.h>
29 #include <openssl/rand.h>
30 #include <openssl/ssl.h>
31 #include <openssl/x509v3.h>
32 #include <poll.h>
33 #include <sys/fcntl.h>
34 #include <sys/stat.h>
35 #include <unistd.h>
36 #include "coverage.h"
37 #include "dynamic-string.h"
38 #include "entropy.h"
39 #include "leak-checker.h"
40 #include "ofpbuf.h"
41 #include "openflow/openflow.h"
42 #include "packets.h"
43 #include "poll-loop.h"
44 #include "shash.h"
45 #include "socket-util.h"
46 #include "util.h"
47 #include "stream-provider.h"
48 #include "stream.h"
49 #include "timeval.h"
50 #include "vlog.h"
51
52 VLOG_DEFINE_THIS_MODULE(stream_ssl);
53
54 /* Active SSL. */
55
56 enum ssl_state {
57     STATE_TCP_CONNECTING,
58     STATE_SSL_CONNECTING
59 };
60
61 enum session_type {
62     CLIENT,
63     SERVER
64 };
65
66 struct ssl_stream
67 {
68     struct stream stream;
69     enum ssl_state state;
70     enum session_type type;
71     int fd;
72     SSL *ssl;
73     struct ofpbuf *txbuf;
74     unsigned int session_nr;
75
76     /* rx_want and tx_want record the result of the last call to SSL_read()
77      * and SSL_write(), respectively:
78      *
79      *    - If the call reported that data needed to be read from the file
80      *      descriptor, the corresponding member is set to SSL_READING.
81      *
82      *    - If the call reported that data needed to be written to the file
83      *      descriptor, the corresponding member is set to SSL_WRITING.
84      *
85      *    - Otherwise, the member is set to SSL_NOTHING, indicating that the
86      *      call completed successfully (or with an error) and that there is no
87      *      need to block.
88      *
89      * These are needed because there is no way to ask OpenSSL what a data read
90      * or write would require without giving it a buffer to receive into or
91      * data to send, respectively.  (Note that the SSL_want() status is
92      * overwritten by each SSL_read() or SSL_write() call, so we can't rely on
93      * its value.)
94      *
95      * A single call to SSL_read() or SSL_write() can perform both reading
96      * and writing and thus invalidate not one of these values but actually
97      * both.  Consider this situation, for example:
98      *
99      *    - SSL_write() blocks on a read, so tx_want gets SSL_READING.
100      *
101      *    - SSL_read() laters succeeds reading from 'fd' and clears out the
102      *      whole receive buffer, so rx_want gets SSL_READING.
103      *
104      *    - Client calls stream_wait(STREAM_RECV) and stream_wait(STREAM_SEND)
105      *      and blocks.
106      *
107      *    - Now we're stuck blocking until the peer sends us data, even though
108      *      SSL_write() could now succeed, which could easily be a deadlock
109      *      condition.
110      *
111      * On the other hand, we can't reset both tx_want and rx_want on every call
112      * to SSL_read() or SSL_write(), because that would produce livelock,
113      * e.g. in this situation:
114      *
115      *    - SSL_write() blocks, so tx_want gets SSL_READING or SSL_WRITING.
116      *
117      *    - SSL_read() blocks, so rx_want gets SSL_READING or SSL_WRITING,
118      *      but tx_want gets reset to SSL_NOTHING.
119      *
120      *    - Client calls stream_wait(STREAM_RECV) and stream_wait(STREAM_SEND)
121      *      and blocks.
122      *
123      *    - Client wakes up immediately since SSL_NOTHING in tx_want indicates
124      *      that no blocking is necessary.
125      *
126      * The solution we adopt here is to set tx_want to SSL_NOTHING after
127      * calling SSL_read() only if the SSL state of the connection changed,
128      * which indicates that an SSL-level renegotiation made some progress, and
129      * similarly for rx_want and SSL_write().  This prevents both the
130      * deadlock and livelock situations above.
131      */
132     int rx_want, tx_want;
133
134     /* A few bytes of header data in case SSL negotiation fails. */
135     uint8_t head[2];
136     short int n_head;
137 };
138
139 /* SSL context created by ssl_init(). */
140 static SSL_CTX *ctx;
141
142 struct ssl_config_file {
143     bool read;                  /* Whether the file was successfully read. */
144     char *file_name;            /* Configured file name, if any. */
145     struct timespec mtime;      /* File mtime as of last time we read it. */
146 };
147
148 /* SSL configuration files. */
149 static struct ssl_config_file private_key;
150 static struct ssl_config_file certificate;
151 static struct ssl_config_file ca_cert;
152
153 /* Ordinarily, the SSL client and server verify each other's certificates using
154  * a CA certificate.  Setting this to false disables this behavior.  (This is a
155  * security risk.) */
156 static bool verify_peer_cert = true;
157
158 /* Ordinarily, we require a CA certificate for the peer to be locally
159  * available.  We can, however, bootstrap the CA certificate from the peer at
160  * the beginning of our first connection then use that certificate on all
161  * subsequent connections, saving it to a file for use in future runs also.  In
162  * this case, 'bootstrap_ca_cert' is true. */
163 static bool bootstrap_ca_cert;
164
165 /* Session number.  Used in debug logging messages to uniquely identify a
166  * session. */
167 static unsigned int next_session_nr;
168
169 /* Who knows what can trigger various SSL errors, so let's throttle them down
170  * quite a bit. */
171 static struct vlog_rate_limit rl = VLOG_RATE_LIMIT_INIT(10, 25);
172
173 static int ssl_init(void);
174 static int do_ssl_init(void);
175 static bool ssl_wants_io(int ssl_error);
176 static void ssl_close(struct stream *);
177 static void ssl_clear_txbuf(struct ssl_stream *);
178 static void interpret_queued_ssl_error(const char *function);
179 static int interpret_ssl_error(const char *function, int ret, int error,
180                                int *want);
181 static DH *tmp_dh_callback(SSL *ssl, int is_export OVS_UNUSED, int keylength);
182 static void log_ca_cert(const char *file_name, X509 *cert);
183 static void stream_ssl_set_ca_cert_file__(const char *file_name,
184                                           bool bootstrap, bool force);
185 static void ssl_protocol_cb(int write_p, int version, int content_type,
186                             const void *, size_t, SSL *, void *sslv_);
187 static bool update_ssl_config(struct ssl_config_file *, const char *file_name);
188
189 static short int
190 want_to_poll_events(int want)
191 {
192     switch (want) {
193     case SSL_NOTHING:
194         NOT_REACHED();
195
196     case SSL_READING:
197         return POLLIN;
198
199     case SSL_WRITING:
200         return POLLOUT;
201
202     default:
203         NOT_REACHED();
204     }
205 }
206
207 static int
208 new_ssl_stream(const char *name, int fd, enum session_type type,
209                enum ssl_state state, const struct sockaddr_in *remote,
210                struct stream **streamp)
211 {
212     struct sockaddr_in local;
213     socklen_t local_len = sizeof local;
214     struct ssl_stream *sslv;
215     SSL *ssl = NULL;
216     int on = 1;
217     int retval;
218
219     /* Check for all the needful configuration. */
220     retval = 0;
221     if (!private_key.read) {
222         VLOG_ERR("Private key must be configured to use SSL");
223         retval = ENOPROTOOPT;
224     }
225     if (!certificate.read) {
226         VLOG_ERR("Certificate must be configured to use SSL");
227         retval = ENOPROTOOPT;
228     }
229     if (!ca_cert.read && verify_peer_cert && !bootstrap_ca_cert) {
230         VLOG_ERR("CA certificate must be configured to use SSL");
231         retval = ENOPROTOOPT;
232     }
233     if (!retval && !SSL_CTX_check_private_key(ctx)) {
234         VLOG_ERR("Private key does not match certificate public key: %s",
235                  ERR_error_string(ERR_get_error(), NULL));
236         retval = ENOPROTOOPT;
237     }
238     if (retval) {
239         goto error;
240     }
241
242     /* Get the local IP and port information */
243     retval = getsockname(fd, (struct sockaddr *) &local, &local_len);
244     if (retval) {
245         memset(&local, 0, sizeof local);
246     }
247
248     /* Disable Nagle. */
249     retval = setsockopt(fd, IPPROTO_TCP, TCP_NODELAY, &on, sizeof on);
250     if (retval) {
251         VLOG_ERR("%s: setsockopt(TCP_NODELAY): %s", name, strerror(errno));
252         retval = errno;
253         goto error;
254     }
255
256     /* Create and configure OpenSSL stream. */
257     ssl = SSL_new(ctx);
258     if (ssl == NULL) {
259         VLOG_ERR("SSL_new: %s", ERR_error_string(ERR_get_error(), NULL));
260         retval = ENOPROTOOPT;
261         goto error;
262     }
263     if (SSL_set_fd(ssl, fd) == 0) {
264         VLOG_ERR("SSL_set_fd: %s", ERR_error_string(ERR_get_error(), NULL));
265         retval = ENOPROTOOPT;
266         goto error;
267     }
268     if (!verify_peer_cert || (bootstrap_ca_cert && type == CLIENT)) {
269         SSL_set_verify(ssl, SSL_VERIFY_NONE, NULL);
270     }
271
272     /* Create and return the ssl_stream. */
273     sslv = xmalloc(sizeof *sslv);
274     stream_init(&sslv->stream, &ssl_stream_class, EAGAIN, name);
275     stream_set_remote_ip(&sslv->stream, remote->sin_addr.s_addr);
276     stream_set_remote_port(&sslv->stream, remote->sin_port);
277     stream_set_local_ip(&sslv->stream, local.sin_addr.s_addr);
278     stream_set_local_port(&sslv->stream, local.sin_port);
279     sslv->state = state;
280     sslv->type = type;
281     sslv->fd = fd;
282     sslv->ssl = ssl;
283     sslv->txbuf = NULL;
284     sslv->rx_want = sslv->tx_want = SSL_NOTHING;
285     sslv->session_nr = next_session_nr++;
286     sslv->n_head = 0;
287
288     if (VLOG_IS_DBG_ENABLED()) {
289         SSL_set_msg_callback(ssl, ssl_protocol_cb);
290         SSL_set_msg_callback_arg(ssl, sslv);
291     }
292
293     *streamp = &sslv->stream;
294     return 0;
295
296 error:
297     if (ssl) {
298         SSL_free(ssl);
299     }
300     close(fd);
301     return retval;
302 }
303
304 static struct ssl_stream *
305 ssl_stream_cast(struct stream *stream)
306 {
307     stream_assert_class(stream, &ssl_stream_class);
308     return CONTAINER_OF(stream, struct ssl_stream, stream);
309 }
310
311 static int
312 ssl_open(const char *name, char *suffix, struct stream **streamp, uint8_t dscp)
313 {
314     struct sockaddr_in sin;
315     int error, fd;
316
317     error = ssl_init();
318     if (error) {
319         return error;
320     }
321
322     error = inet_open_active(SOCK_STREAM, suffix, OFP_SSL_PORT, &sin, &fd,
323                              dscp);
324     if (fd >= 0) {
325         int state = error ? STATE_TCP_CONNECTING : STATE_SSL_CONNECTING;
326         return new_ssl_stream(name, fd, CLIENT, state, &sin, streamp);
327     } else {
328         VLOG_ERR("%s: connect: %s", name, strerror(error));
329         return error;
330     }
331 }
332
333 static int
334 do_ca_cert_bootstrap(struct stream *stream)
335 {
336     struct ssl_stream *sslv = ssl_stream_cast(stream);
337     STACK_OF(X509) *chain;
338     X509 *cert;
339     FILE *file;
340     int error;
341     int fd;
342
343     chain = SSL_get_peer_cert_chain(sslv->ssl);
344     if (!chain || !sk_X509_num(chain)) {
345         VLOG_ERR("could not bootstrap CA cert: no certificate presented by "
346                  "peer");
347         return EPROTO;
348     }
349     cert = sk_X509_value(chain, sk_X509_num(chain) - 1);
350
351     /* Check that 'cert' is self-signed.  Otherwise it is not a CA
352      * certificate and we should not attempt to use it as one. */
353     error = X509_check_issued(cert, cert);
354     if (error) {
355         VLOG_ERR("could not bootstrap CA cert: obtained certificate is "
356                  "not self-signed (%s)",
357                  X509_verify_cert_error_string(error));
358         if (sk_X509_num(chain) < 2) {
359             VLOG_ERR("only one certificate was received, so probably the peer "
360                      "is not configured to send its CA certificate");
361         }
362         return EPROTO;
363     }
364
365     fd = open(ca_cert.file_name, O_CREAT | O_EXCL | O_WRONLY, 0444);
366     if (fd < 0) {
367         if (errno == EEXIST) {
368             VLOG_INFO_RL(&rl, "reading CA cert %s created by another process",
369                          ca_cert.file_name);
370             stream_ssl_set_ca_cert_file__(ca_cert.file_name, true, true);
371             return EPROTO;
372         } else {
373             VLOG_ERR("could not bootstrap CA cert: creating %s failed: %s",
374                      ca_cert.file_name, strerror(errno));
375             return errno;
376         }
377     }
378
379     file = fdopen(fd, "w");
380     if (!file) {
381         error = errno;
382         VLOG_ERR("could not bootstrap CA cert: fdopen failed: %s",
383                  strerror(error));
384         unlink(ca_cert.file_name);
385         return error;
386     }
387
388     if (!PEM_write_X509(file, cert)) {
389         VLOG_ERR("could not bootstrap CA cert: PEM_write_X509 to %s failed: "
390                  "%s", ca_cert.file_name,
391                  ERR_error_string(ERR_get_error(), NULL));
392         fclose(file);
393         unlink(ca_cert.file_name);
394         return EIO;
395     }
396
397     if (fclose(file)) {
398         error = errno;
399         VLOG_ERR("could not bootstrap CA cert: writing %s failed: %s",
400                  ca_cert.file_name, strerror(error));
401         unlink(ca_cert.file_name);
402         return error;
403     }
404
405     VLOG_INFO("successfully bootstrapped CA cert to %s", ca_cert.file_name);
406     log_ca_cert(ca_cert.file_name, cert);
407     bootstrap_ca_cert = false;
408     ca_cert.read = true;
409
410     /* SSL_CTX_add_client_CA makes a copy of cert's relevant data. */
411     SSL_CTX_add_client_CA(ctx, cert);
412
413     /* SSL_CTX_use_certificate() takes ownership of the certificate passed in.
414      * 'cert' is owned by sslv->ssl, so we need to duplicate it. */
415     cert = X509_dup(cert);
416     if (!cert) {
417         out_of_memory();
418     }
419     SSL_CTX_set_cert_store(ctx, X509_STORE_new());
420     if (SSL_CTX_load_verify_locations(ctx, ca_cert.file_name, NULL) != 1) {
421         VLOG_ERR("SSL_CTX_load_verify_locations: %s",
422                  ERR_error_string(ERR_get_error(), NULL));
423         return EPROTO;
424     }
425     VLOG_INFO("killing successful connection to retry using CA cert");
426     return EPROTO;
427 }
428
429 static int
430 ssl_connect(struct stream *stream)
431 {
432     struct ssl_stream *sslv = ssl_stream_cast(stream);
433     int retval;
434
435     switch (sslv->state) {
436     case STATE_TCP_CONNECTING:
437         retval = check_connection_completion(sslv->fd);
438         if (retval) {
439             return retval;
440         }
441         sslv->state = STATE_SSL_CONNECTING;
442         /* Fall through. */
443
444     case STATE_SSL_CONNECTING:
445         /* Capture the first few bytes of received data so that we can guess
446          * what kind of funny data we've been sent if SSL negotation fails. */
447         if (sslv->n_head <= 0) {
448             sslv->n_head = recv(sslv->fd, sslv->head, sizeof sslv->head,
449                                 MSG_PEEK);
450         }
451
452         retval = (sslv->type == CLIENT
453                    ? SSL_connect(sslv->ssl) : SSL_accept(sslv->ssl));
454         if (retval != 1) {
455             int error = SSL_get_error(sslv->ssl, retval);
456             if (retval < 0 && ssl_wants_io(error)) {
457                 return EAGAIN;
458             } else {
459                 int unused;
460
461                 interpret_ssl_error((sslv->type == CLIENT ? "SSL_connect"
462                                      : "SSL_accept"), retval, error, &unused);
463                 shutdown(sslv->fd, SHUT_RDWR);
464                 stream_report_content(sslv->head, sslv->n_head, STREAM_SSL,
465                                       THIS_MODULE, stream_get_name(stream));
466                 return EPROTO;
467             }
468         } else if (bootstrap_ca_cert) {
469             return do_ca_cert_bootstrap(stream);
470         } else if (verify_peer_cert
471                    && ((SSL_get_verify_mode(sslv->ssl)
472                        & (SSL_VERIFY_NONE | SSL_VERIFY_PEER))
473                        != SSL_VERIFY_PEER)) {
474             /* Two or more SSL connections completed at the same time while we
475              * were in bootstrap mode.  Only one of these can finish the
476              * bootstrap successfully.  The other one(s) must be rejected
477              * because they were not verified against the bootstrapped CA
478              * certificate.  (Alternatively we could verify them against the CA
479              * certificate, but that's more trouble than it's worth.  These
480              * connections will succeed the next time they retry, assuming that
481              * they have a certificate against the correct CA.) */
482             VLOG_INFO("rejecting SSL connection during bootstrap race window");
483             return EPROTO;
484         } else {
485             return 0;
486         }
487     }
488
489     NOT_REACHED();
490 }
491
492 static void
493 ssl_close(struct stream *stream)
494 {
495     struct ssl_stream *sslv = ssl_stream_cast(stream);
496     ssl_clear_txbuf(sslv);
497
498     /* Attempt clean shutdown of the SSL connection.  This will work most of
499      * the time, as long as the kernel send buffer has some free space and the
500      * SSL connection isn't renegotiating, etc.  That has to be good enough,
501      * since we don't have any way to continue the close operation in the
502      * background. */
503     SSL_shutdown(sslv->ssl);
504
505     /* SSL_shutdown() might have signaled an error, in which case we need to
506      * flush it out of the OpenSSL error queue or the next OpenSSL operation
507      * will falsely signal an error. */
508     ERR_clear_error();
509
510     SSL_free(sslv->ssl);
511     close(sslv->fd);
512     free(sslv);
513 }
514
515 static void
516 interpret_queued_ssl_error(const char *function)
517 {
518     int queued_error = ERR_get_error();
519     if (queued_error != 0) {
520         VLOG_WARN_RL(&rl, "%s: %s",
521                      function, ERR_error_string(queued_error, NULL));
522     } else {
523         VLOG_ERR_RL(&rl, "%s: SSL_ERROR_SSL without queued error", function);
524     }
525 }
526
527 static int
528 interpret_ssl_error(const char *function, int ret, int error,
529                     int *want)
530 {
531     *want = SSL_NOTHING;
532
533     switch (error) {
534     case SSL_ERROR_NONE:
535         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_NONE", function);
536         break;
537
538     case SSL_ERROR_ZERO_RETURN:
539         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_ZERO_RETURN", function);
540         break;
541
542     case SSL_ERROR_WANT_READ:
543         *want = SSL_READING;
544         return EAGAIN;
545
546     case SSL_ERROR_WANT_WRITE:
547         *want = SSL_WRITING;
548         return EAGAIN;
549
550     case SSL_ERROR_WANT_CONNECT:
551         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_CONNECT", function);
552         break;
553
554     case SSL_ERROR_WANT_ACCEPT:
555         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_ACCEPT", function);
556         break;
557
558     case SSL_ERROR_WANT_X509_LOOKUP:
559         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_X509_LOOKUP",
560                     function);
561         break;
562
563     case SSL_ERROR_SYSCALL: {
564         int queued_error = ERR_get_error();
565         if (queued_error == 0) {
566             if (ret < 0) {
567                 int status = errno;
568                 VLOG_WARN_RL(&rl, "%s: system error (%s)",
569                              function, strerror(status));
570                 return status;
571             } else {
572                 VLOG_WARN_RL(&rl, "%s: unexpected SSL connection close",
573                              function);
574                 return EPROTO;
575             }
576         } else {
577             VLOG_WARN_RL(&rl, "%s: %s",
578                          function, ERR_error_string(queued_error, NULL));
579             break;
580         }
581     }
582
583     case SSL_ERROR_SSL:
584         interpret_queued_ssl_error(function);
585         break;
586
587     default:
588         VLOG_ERR_RL(&rl, "%s: bad SSL error code %d", function, error);
589         break;
590     }
591     return EIO;
592 }
593
594 static ssize_t
595 ssl_recv(struct stream *stream, void *buffer, size_t n)
596 {
597     struct ssl_stream *sslv = ssl_stream_cast(stream);
598     int old_state;
599     ssize_t ret;
600
601     /* Behavior of zero-byte SSL_read is poorly defined. */
602     assert(n > 0);
603
604     old_state = SSL_get_state(sslv->ssl);
605     ret = SSL_read(sslv->ssl, buffer, n);
606     if (old_state != SSL_get_state(sslv->ssl)) {
607         sslv->tx_want = SSL_NOTHING;
608     }
609     sslv->rx_want = SSL_NOTHING;
610
611     if (ret > 0) {
612         return ret;
613     } else {
614         int error = SSL_get_error(sslv->ssl, ret);
615         if (error == SSL_ERROR_ZERO_RETURN) {
616             return 0;
617         } else {
618             return -interpret_ssl_error("SSL_read", ret, error,
619                                         &sslv->rx_want);
620         }
621     }
622 }
623
624 static void
625 ssl_clear_txbuf(struct ssl_stream *sslv)
626 {
627     ofpbuf_delete(sslv->txbuf);
628     sslv->txbuf = NULL;
629 }
630
631 static int
632 ssl_do_tx(struct stream *stream)
633 {
634     struct ssl_stream *sslv = ssl_stream_cast(stream);
635
636     for (;;) {
637         int old_state = SSL_get_state(sslv->ssl);
638         int ret = SSL_write(sslv->ssl, sslv->txbuf->data, sslv->txbuf->size);
639         if (old_state != SSL_get_state(sslv->ssl)) {
640             sslv->rx_want = SSL_NOTHING;
641         }
642         sslv->tx_want = SSL_NOTHING;
643         if (ret > 0) {
644             ofpbuf_pull(sslv->txbuf, ret);
645             if (sslv->txbuf->size == 0) {
646                 return 0;
647             }
648         } else {
649             int ssl_error = SSL_get_error(sslv->ssl, ret);
650             if (ssl_error == SSL_ERROR_ZERO_RETURN) {
651                 VLOG_WARN_RL(&rl, "SSL_write: connection closed");
652                 return EPIPE;
653             } else {
654                 return interpret_ssl_error("SSL_write", ret, ssl_error,
655                                            &sslv->tx_want);
656             }
657         }
658     }
659 }
660
661 static ssize_t
662 ssl_send(struct stream *stream, const void *buffer, size_t n)
663 {
664     struct ssl_stream *sslv = ssl_stream_cast(stream);
665
666     if (sslv->txbuf) {
667         return -EAGAIN;
668     } else {
669         int error;
670
671         sslv->txbuf = ofpbuf_clone_data(buffer, n);
672         error = ssl_do_tx(stream);
673         switch (error) {
674         case 0:
675             ssl_clear_txbuf(sslv);
676             return n;
677         case EAGAIN:
678             leak_checker_claim(buffer);
679             return n;
680         default:
681             sslv->txbuf = NULL;
682             return -error;
683         }
684     }
685 }
686
687 static void
688 ssl_run(struct stream *stream)
689 {
690     struct ssl_stream *sslv = ssl_stream_cast(stream);
691
692     if (sslv->txbuf && ssl_do_tx(stream) != EAGAIN) {
693         ssl_clear_txbuf(sslv);
694     }
695 }
696
697 static void
698 ssl_run_wait(struct stream *stream)
699 {
700     struct ssl_stream *sslv = ssl_stream_cast(stream);
701
702     if (sslv->tx_want != SSL_NOTHING) {
703         poll_fd_wait(sslv->fd, want_to_poll_events(sslv->tx_want));
704     }
705 }
706
707 static void
708 ssl_wait(struct stream *stream, enum stream_wait_type wait)
709 {
710     struct ssl_stream *sslv = ssl_stream_cast(stream);
711
712     switch (wait) {
713     case STREAM_CONNECT:
714         if (stream_connect(stream) != EAGAIN) {
715             poll_immediate_wake();
716         } else {
717             switch (sslv->state) {
718             case STATE_TCP_CONNECTING:
719                 poll_fd_wait(sslv->fd, POLLOUT);
720                 break;
721
722             case STATE_SSL_CONNECTING:
723                 /* ssl_connect() called SSL_accept() or SSL_connect(), which
724                  * set up the status that we test here. */
725                 poll_fd_wait(sslv->fd,
726                              want_to_poll_events(SSL_want(sslv->ssl)));
727                 break;
728
729             default:
730                 NOT_REACHED();
731             }
732         }
733         break;
734
735     case STREAM_RECV:
736         if (sslv->rx_want != SSL_NOTHING) {
737             poll_fd_wait(sslv->fd, want_to_poll_events(sslv->rx_want));
738         } else {
739             poll_immediate_wake();
740         }
741         break;
742
743     case STREAM_SEND:
744         if (!sslv->txbuf) {
745             /* We have room in our tx queue. */
746             poll_immediate_wake();
747         } else {
748             /* stream_run_wait() will do the right thing; don't bother with
749              * redundancy. */
750         }
751         break;
752
753     default:
754         NOT_REACHED();
755     }
756 }
757
758 const struct stream_class ssl_stream_class = {
759     "ssl",                      /* name */
760     true,                       /* needs_probes */
761     ssl_open,                   /* open */
762     ssl_close,                  /* close */
763     ssl_connect,                /* connect */
764     ssl_recv,                   /* recv */
765     ssl_send,                   /* send */
766     ssl_run,                    /* run */
767     ssl_run_wait,               /* run_wait */
768     ssl_wait,                   /* wait */
769 };
770 \f
771 /* Passive SSL. */
772
773 struct pssl_pstream
774 {
775     struct pstream pstream;
776     int fd;
777 };
778
779 const struct pstream_class pssl_pstream_class;
780
781 static struct pssl_pstream *
782 pssl_pstream_cast(struct pstream *pstream)
783 {
784     pstream_assert_class(pstream, &pssl_pstream_class);
785     return CONTAINER_OF(pstream, struct pssl_pstream, pstream);
786 }
787
788 static int
789 pssl_open(const char *name OVS_UNUSED, char *suffix, struct pstream **pstreamp,
790           uint8_t dscp)
791 {
792     struct pssl_pstream *pssl;
793     struct sockaddr_in sin;
794     char bound_name[128];
795     int retval;
796     int fd;
797
798     retval = ssl_init();
799     if (retval) {
800         return retval;
801     }
802
803     fd = inet_open_passive(SOCK_STREAM, suffix, OFP_SSL_PORT, &sin, dscp);
804     if (fd < 0) {
805         return -fd;
806     }
807     sprintf(bound_name, "pssl:%"PRIu16":"IP_FMT,
808             ntohs(sin.sin_port), IP_ARGS(&sin.sin_addr.s_addr));
809
810     pssl = xmalloc(sizeof *pssl);
811     pstream_init(&pssl->pstream, &pssl_pstream_class, bound_name);
812     pssl->fd = fd;
813     *pstreamp = &pssl->pstream;
814     return 0;
815 }
816
817 static void
818 pssl_close(struct pstream *pstream)
819 {
820     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
821     close(pssl->fd);
822     free(pssl);
823 }
824
825 static int
826 pssl_accept(struct pstream *pstream, struct stream **new_streamp)
827 {
828     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
829     struct sockaddr_in sin;
830     socklen_t sin_len = sizeof sin;
831     char name[128];
832     int new_fd;
833     int error;
834
835     new_fd = accept(pssl->fd, (struct sockaddr *) &sin, &sin_len);
836     if (new_fd < 0) {
837         error = errno;
838         if (error != EAGAIN) {
839             VLOG_DBG_RL(&rl, "accept: %s", strerror(error));
840         }
841         return error;
842     }
843
844     error = set_nonblocking(new_fd);
845     if (error) {
846         close(new_fd);
847         return error;
848     }
849
850     sprintf(name, "ssl:"IP_FMT, IP_ARGS(&sin.sin_addr));
851     if (sin.sin_port != htons(OFP_SSL_PORT)) {
852         sprintf(strchr(name, '\0'), ":%"PRIu16, ntohs(sin.sin_port));
853     }
854     return new_ssl_stream(name, new_fd, SERVER, STATE_SSL_CONNECTING, &sin,
855                           new_streamp);
856 }
857
858 static void
859 pssl_wait(struct pstream *pstream)
860 {
861     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
862     poll_fd_wait(pssl->fd, POLLIN);
863 }
864
865 const struct pstream_class pssl_pstream_class = {
866     "pssl",
867     true,
868     pssl_open,
869     pssl_close,
870     pssl_accept,
871     pssl_wait,
872 };
873 \f
874 /*
875  * Returns true if OpenSSL error is WANT_READ or WANT_WRITE, indicating that
876  * OpenSSL is requesting that we call it back when the socket is ready for read
877  * or writing, respectively.
878  */
879 static bool
880 ssl_wants_io(int ssl_error)
881 {
882     return (ssl_error == SSL_ERROR_WANT_WRITE
883             || ssl_error == SSL_ERROR_WANT_READ);
884 }
885
886 static int
887 ssl_init(void)
888 {
889     static int init_status = -1;
890     if (init_status < 0) {
891         init_status = do_ssl_init();
892         assert(init_status >= 0);
893     }
894     return init_status;
895 }
896
897 static int
898 do_ssl_init(void)
899 {
900     SSL_METHOD *method;
901
902     SSL_library_init();
903     SSL_load_error_strings();
904
905     if (!RAND_status()) {
906         /* We occasionally see OpenSSL fail to seed its random number generator
907          * in heavily loaded hypervisors.  I suspect the following scenario:
908          *
909          * 1. OpenSSL calls read() to get 32 bytes from /dev/urandom.
910          * 2. The kernel generates 10 bytes of randomness and copies it out.
911          * 3. A signal arrives (perhaps SIGALRM).
912          * 4. The kernel interrupts the system call to service the signal.
913          * 5. Userspace gets 10 bytes of entropy.
914          * 6. OpenSSL doesn't read again to get the final 22 bytes.  Therefore
915          *    OpenSSL doesn't have enough entropy to consider itself
916          *    initialized.
917          *
918          * The only part I'm not entirely sure about is #6, because the OpenSSL
919          * code is so hard to read. */
920         uint8_t seed[32];
921         int retval;
922
923         VLOG_WARN("OpenSSL random seeding failed, reseeding ourselves");
924
925         retval = get_entropy(seed, sizeof seed);
926         if (retval) {
927             VLOG_ERR("failed to obtain entropy (%s)",
928                      ovs_retval_to_string(retval));
929             return retval > 0 ? retval : ENOPROTOOPT;
930         }
931
932         RAND_seed(seed, sizeof seed);
933     }
934
935     /* New OpenSSL changed TLSv1_method() to return a "const" pointer, so the
936      * cast is needed to avoid a warning with those newer versions. */
937     method = CONST_CAST(SSL_METHOD *, TLSv1_method());
938     if (method == NULL) {
939         VLOG_ERR("TLSv1_method: %s", ERR_error_string(ERR_get_error(), NULL));
940         return ENOPROTOOPT;
941     }
942
943     ctx = SSL_CTX_new(method);
944     if (ctx == NULL) {
945         VLOG_ERR("SSL_CTX_new: %s", ERR_error_string(ERR_get_error(), NULL));
946         return ENOPROTOOPT;
947     }
948     SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
949     SSL_CTX_set_tmp_dh_callback(ctx, tmp_dh_callback);
950     SSL_CTX_set_mode(ctx, SSL_MODE_ENABLE_PARTIAL_WRITE);
951     SSL_CTX_set_mode(ctx, SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER);
952     SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
953                        NULL);
954
955     return 0;
956 }
957
958 static DH *
959 tmp_dh_callback(SSL *ssl OVS_UNUSED, int is_export OVS_UNUSED, int keylength)
960 {
961     struct dh {
962         int keylength;
963         DH *dh;
964         DH *(*constructor)(void);
965     };
966
967     static struct dh dh_table[] = {
968         {1024, NULL, get_dh1024},
969         {2048, NULL, get_dh2048},
970         {4096, NULL, get_dh4096},
971     };
972
973     struct dh *dh;
974
975     for (dh = dh_table; dh < &dh_table[ARRAY_SIZE(dh_table)]; dh++) {
976         if (dh->keylength == keylength) {
977             if (!dh->dh) {
978                 dh->dh = dh->constructor();
979                 if (!dh->dh) {
980                     out_of_memory();
981                 }
982             }
983             return dh->dh;
984         }
985     }
986     VLOG_ERR_RL(&rl, "no Diffie-Hellman parameters for key length %d",
987                 keylength);
988     return NULL;
989 }
990
991 /* Returns true if SSL is at least partially configured. */
992 bool
993 stream_ssl_is_configured(void)
994 {
995     return private_key.file_name || certificate.file_name || ca_cert.file_name;
996 }
997
998 static bool
999 update_ssl_config(struct ssl_config_file *config, const char *file_name)
1000 {
1001     struct timespec mtime;
1002     int error;
1003
1004     if (ssl_init() || !file_name) {
1005         return false;
1006     }
1007
1008     /* If the file name hasn't changed and neither has the file contents, stop
1009      * here. */
1010     error = get_mtime(file_name, &mtime);
1011     if (error && error != ENOENT) {
1012         VLOG_ERR_RL(&rl, "%s: stat failed (%s)", file_name, strerror(error));
1013     }
1014     if (config->file_name
1015         && !strcmp(config->file_name, file_name)
1016         && mtime.tv_sec == config->mtime.tv_sec
1017         && mtime.tv_nsec == config->mtime.tv_nsec) {
1018         return false;
1019     }
1020
1021     /* Update 'config'. */
1022     config->mtime = mtime;
1023     if (file_name != config->file_name) {
1024         free(config->file_name);
1025         config->file_name = xstrdup(file_name);
1026     }
1027     return true;
1028 }
1029
1030 static void
1031 stream_ssl_set_private_key_file__(const char *file_name)
1032 {
1033     if (SSL_CTX_use_PrivateKey_file(ctx, file_name, SSL_FILETYPE_PEM) == 1) {
1034         private_key.read = true;
1035     } else {
1036         VLOG_ERR("SSL_use_PrivateKey_file: %s",
1037                  ERR_error_string(ERR_get_error(), NULL));
1038     }
1039 }
1040
1041 void
1042 stream_ssl_set_private_key_file(const char *file_name)
1043 {
1044     if (update_ssl_config(&private_key, file_name)) {
1045         stream_ssl_set_private_key_file__(file_name);
1046     }
1047 }
1048
1049 static void
1050 stream_ssl_set_certificate_file__(const char *file_name)
1051 {
1052     if (SSL_CTX_use_certificate_chain_file(ctx, file_name) == 1) {
1053         certificate.read = true;
1054     } else {
1055         VLOG_ERR("SSL_use_certificate_file: %s",
1056                  ERR_error_string(ERR_get_error(), NULL));
1057     }
1058 }
1059
1060 void
1061 stream_ssl_set_certificate_file(const char *file_name)
1062 {
1063     if (update_ssl_config(&certificate, file_name)) {
1064         stream_ssl_set_certificate_file__(file_name);
1065     }
1066 }
1067
1068 /* Sets the private key and certificate files in one operation.  Use this
1069  * interface, instead of calling stream_ssl_set_private_key_file() and
1070  * stream_ssl_set_certificate_file() individually, in the main loop of a
1071  * long-running program whose key and certificate might change at runtime.
1072  *
1073  * This is important because of OpenSSL's behavior.  If an OpenSSL context
1074  * already has a certificate, and stream_ssl_set_private_key_file() is called
1075  * to install a new private key, OpenSSL will report an error because the new
1076  * private key does not match the old certificate.  The other order, of setting
1077  * a new certificate, then setting a new private key, does work.
1078  *
1079  * If this were the only problem, calling stream_ssl_set_certificate_file()
1080  * before stream_ssl_set_private_key_file() would fix it.  But, if the private
1081  * key is changed before the certificate (e.g. someone "scp"s or "mv"s the new
1082  * private key in place before the certificate), then OpenSSL would reject that
1083  * change, and then the change of certificate would succeed, but there would be
1084  * no associated private key (because it had only changed once and therefore
1085  * there was no point in re-reading it).
1086  *
1087  * This function avoids both problems by, whenever either the certificate or
1088  * the private key file changes, re-reading both of them, in the correct order.
1089  */
1090 void
1091 stream_ssl_set_key_and_cert(const char *private_key_file,
1092                             const char *certificate_file)
1093 {
1094     if (update_ssl_config(&private_key, private_key_file)
1095         || update_ssl_config(&certificate, certificate_file)) {
1096         stream_ssl_set_certificate_file__(certificate_file);
1097         stream_ssl_set_private_key_file__(private_key_file);
1098     }
1099 }
1100
1101 /* Reads the X509 certificate or certificates in file 'file_name'.  On success,
1102  * stores the address of the first element in an array of pointers to
1103  * certificates in '*certs' and the number of certificates in the array in
1104  * '*n_certs', and returns 0.  On failure, stores a null pointer in '*certs', 0
1105  * in '*n_certs', and returns a positive errno value.
1106  *
1107  * The caller is responsible for freeing '*certs'. */
1108 static int
1109 read_cert_file(const char *file_name, X509 ***certs, size_t *n_certs)
1110 {
1111     FILE *file;
1112     size_t allocated_certs = 0;
1113
1114     *certs = NULL;
1115     *n_certs = 0;
1116
1117     file = fopen(file_name, "r");
1118     if (!file) {
1119         VLOG_ERR("failed to open %s for reading: %s",
1120                  file_name, strerror(errno));
1121         return errno;
1122     }
1123
1124     for (;;) {
1125         X509 *certificate;
1126         int c;
1127
1128         /* Read certificate from file. */
1129         certificate = PEM_read_X509(file, NULL, NULL, NULL);
1130         if (!certificate) {
1131             size_t i;
1132
1133             VLOG_ERR("PEM_read_X509 failed reading %s: %s",
1134                      file_name, ERR_error_string(ERR_get_error(), NULL));
1135             for (i = 0; i < *n_certs; i++) {
1136                 X509_free((*certs)[i]);
1137             }
1138             free(*certs);
1139             *certs = NULL;
1140             *n_certs = 0;
1141             return EIO;
1142         }
1143
1144         /* Add certificate to array. */
1145         if (*n_certs >= allocated_certs) {
1146             *certs = x2nrealloc(*certs, &allocated_certs, sizeof **certs);
1147         }
1148         (*certs)[(*n_certs)++] = certificate;
1149
1150         /* Are there additional certificates in the file? */
1151         do {
1152             c = getc(file);
1153         } while (isspace(c));
1154         if (c == EOF) {
1155             break;
1156         }
1157         ungetc(c, file);
1158     }
1159     fclose(file);
1160     return 0;
1161 }
1162
1163
1164 /* Sets 'file_name' as the name of a file containing one or more X509
1165  * certificates to send to the peer.  Typical use in OpenFlow is to send the CA
1166  * certificate to the peer, which enables a switch to pick up the controller's
1167  * CA certificate on its first connection. */
1168 void
1169 stream_ssl_set_peer_ca_cert_file(const char *file_name)
1170 {
1171     X509 **certs;
1172     size_t n_certs;
1173     size_t i;
1174
1175     if (ssl_init()) {
1176         return;
1177     }
1178
1179     if (!read_cert_file(file_name, &certs, &n_certs)) {
1180         for (i = 0; i < n_certs; i++) {
1181             if (SSL_CTX_add_extra_chain_cert(ctx, certs[i]) != 1) {
1182                 VLOG_ERR("SSL_CTX_add_extra_chain_cert: %s",
1183                          ERR_error_string(ERR_get_error(), NULL));
1184             }
1185         }
1186         free(certs);
1187     }
1188 }
1189
1190 /* Logs fingerprint of CA certificate 'cert' obtained from 'file_name'. */
1191 static void
1192 log_ca_cert(const char *file_name, X509 *cert)
1193 {
1194     unsigned char digest[EVP_MAX_MD_SIZE];
1195     unsigned int n_bytes;
1196     struct ds fp;
1197     char *subject;
1198
1199     ds_init(&fp);
1200     if (!X509_digest(cert, EVP_sha1(), digest, &n_bytes)) {
1201         ds_put_cstr(&fp, "<out of memory>");
1202     } else {
1203         unsigned int i;
1204         for (i = 0; i < n_bytes; i++) {
1205             if (i) {
1206                 ds_put_char(&fp, ':');
1207             }
1208             ds_put_format(&fp, "%02hhx", digest[i]);
1209         }
1210     }
1211     subject = X509_NAME_oneline(X509_get_subject_name(cert), NULL, 0);
1212     VLOG_INFO("Trusting CA cert from %s (%s) (fingerprint %s)", file_name,
1213               subject ? subject : "<out of memory>", ds_cstr(&fp));
1214     OPENSSL_free(subject);
1215     ds_destroy(&fp);
1216 }
1217
1218 static void
1219 stream_ssl_set_ca_cert_file__(const char *file_name,
1220                               bool bootstrap, bool force)
1221 {
1222     X509 **certs;
1223     size_t n_certs;
1224     struct stat s;
1225
1226     if (!update_ssl_config(&ca_cert, file_name) && !force) {
1227         return;
1228     }
1229
1230     if (!strcmp(file_name, "none")) {
1231         verify_peer_cert = false;
1232         VLOG_WARN("Peer certificate validation disabled "
1233                   "(this is a security risk)");
1234     } else if (bootstrap && stat(file_name, &s) && errno == ENOENT) {
1235         bootstrap_ca_cert = true;
1236     } else if (!read_cert_file(file_name, &certs, &n_certs)) {
1237         size_t i;
1238
1239         /* Set up list of CAs that the server will accept from the client. */
1240         for (i = 0; i < n_certs; i++) {
1241             /* SSL_CTX_add_client_CA makes a copy of the relevant data. */
1242             if (SSL_CTX_add_client_CA(ctx, certs[i]) != 1) {
1243                 VLOG_ERR("failed to add client certificate %zu from %s: %s",
1244                          i, file_name,
1245                          ERR_error_string(ERR_get_error(), NULL));
1246             } else {
1247                 log_ca_cert(file_name, certs[i]);
1248             }
1249             X509_free(certs[i]);
1250         }
1251         free(certs);
1252
1253         /* Set up CAs for OpenSSL to trust in verifying the peer's
1254          * certificate. */
1255         SSL_CTX_set_cert_store(ctx, X509_STORE_new());
1256         if (SSL_CTX_load_verify_locations(ctx, file_name, NULL) != 1) {
1257             VLOG_ERR("SSL_CTX_load_verify_locations: %s",
1258                      ERR_error_string(ERR_get_error(), NULL));
1259             return;
1260         }
1261
1262         bootstrap_ca_cert = false;
1263     }
1264     ca_cert.read = true;
1265 }
1266
1267 /* Sets 'file_name' as the name of the file from which to read the CA
1268  * certificate used to verify the peer within SSL connections.  If 'bootstrap'
1269  * is false, the file must exist.  If 'bootstrap' is false, then the file is
1270  * read if it is exists; if it does not, then it will be created from the CA
1271  * certificate received from the peer on the first SSL connection. */
1272 void
1273 stream_ssl_set_ca_cert_file(const char *file_name, bool bootstrap)
1274 {
1275     stream_ssl_set_ca_cert_file__(file_name, bootstrap, false);
1276 }
1277 \f
1278 /* SSL protocol logging. */
1279
1280 static const char *
1281 ssl_alert_level_to_string(uint8_t type)
1282 {
1283     switch (type) {
1284     case 1: return "warning";
1285     case 2: return "fatal";
1286     default: return "<unknown>";
1287     }
1288 }
1289
1290 static const char *
1291 ssl_alert_description_to_string(uint8_t type)
1292 {
1293     switch (type) {
1294     case 0: return "close_notify";
1295     case 10: return "unexpected_message";
1296     case 20: return "bad_record_mac";
1297     case 21: return "decryption_failed";
1298     case 22: return "record_overflow";
1299     case 30: return "decompression_failure";
1300     case 40: return "handshake_failure";
1301     case 42: return "bad_certificate";
1302     case 43: return "unsupported_certificate";
1303     case 44: return "certificate_revoked";
1304     case 45: return "certificate_expired";
1305     case 46: return "certificate_unknown";
1306     case 47: return "illegal_parameter";
1307     case 48: return "unknown_ca";
1308     case 49: return "access_denied";
1309     case 50: return "decode_error";
1310     case 51: return "decrypt_error";
1311     case 60: return "export_restriction";
1312     case 70: return "protocol_version";
1313     case 71: return "insufficient_security";
1314     case 80: return "internal_error";
1315     case 90: return "user_canceled";
1316     case 100: return "no_renegotiation";
1317     default: return "<unknown>";
1318     }
1319 }
1320
1321 static const char *
1322 ssl_handshake_type_to_string(uint8_t type)
1323 {
1324     switch (type) {
1325     case 0: return "hello_request";
1326     case 1: return "client_hello";
1327     case 2: return "server_hello";
1328     case 11: return "certificate";
1329     case 12: return "server_key_exchange";
1330     case 13: return "certificate_request";
1331     case 14: return "server_hello_done";
1332     case 15: return "certificate_verify";
1333     case 16: return "client_key_exchange";
1334     case 20: return "finished";
1335     default: return "<unknown>";
1336     }
1337 }
1338
1339 static void
1340 ssl_protocol_cb(int write_p, int version OVS_UNUSED, int content_type,
1341                 const void *buf_, size_t len, SSL *ssl OVS_UNUSED, void *sslv_)
1342 {
1343     const struct ssl_stream *sslv = sslv_;
1344     const uint8_t *buf = buf_;
1345     struct ds details;
1346
1347     if (!VLOG_IS_DBG_ENABLED()) {
1348         return;
1349     }
1350
1351     ds_init(&details);
1352     if (content_type == 20) {
1353         ds_put_cstr(&details, "change_cipher_spec");
1354     } else if (content_type == 21) {
1355         ds_put_format(&details, "alert: %s, %s",
1356                       ssl_alert_level_to_string(buf[0]),
1357                       ssl_alert_description_to_string(buf[1]));
1358     } else if (content_type == 22) {
1359         ds_put_format(&details, "handshake: %s",
1360                       ssl_handshake_type_to_string(buf[0]));
1361     } else {
1362         ds_put_format(&details, "type %d", content_type);
1363     }
1364
1365     VLOG_DBG("%s%u%s%s %s (%zu bytes)",
1366              sslv->type == CLIENT ? "client" : "server",
1367              sslv->session_nr, write_p ? "-->" : "<--",
1368              stream_get_name(&sslv->stream), ds_cstr(&details), len);
1369
1370     ds_destroy(&details);
1371 }