Changeset 3232 for branches/2.2/security/crl_admin

Timestamp:

09/13/10 15:01:56 (14 years ago)

Author:

rafaelraymundo

Message:

Ticket #1237 - Atualizados componentes de suporte ao uso do Certificado Digital.

Location:

branches/2.2/security/crl_admin

Files:

• crl_admin.conf (modified) (1 diff)
• crl_admin.py (modified) (2 diffs)
• crl_admin_confg.py (modified) (1 diff)

branches/2.2/security/crl_admin/crl_admin.conf

@@ -1 @@
-# Lista das urls apontando CRLs, e onde colocar(path) os arquivos obtidos ....
+# Lista das urls apontando CRLs ....
 # Formato:
-# url;path   ( o path deve terminar com uma / )
-http://ccd.serpro.gov.br/lcr/serproacfv1.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/serproacfv2.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/ACPRv1.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/ACPRv2.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/ACSERPRORFB.crl;/var/www/expresso/security/crls/
-http://acraiz.icpbrasil.gov.br/LCRacraizv1.crl;/var/www/expresso/security/crls/
-http://acraiz.icpbrasil.gov.br/LCRacraiz.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/acserpro.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/acserprojus.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/acserprorfb.crl;/var/www/expresso/security/crls/
-http://ccd.serpro.gov.br/lcr/acserprosrf.crl;/var/www/expresso/security/crls/
-http://icp.caixa.gov.br/repositorio/ACCAIXA1.crl;/var/www/expresso/security/crls/
-http://icp.caixa.gov.br/repositorio/ACCAIXAPF1.crl;/var/www/expresso/security/crls/
-http://icp.caixa.gov.br/repositorio/ACCAIXAPJ1.crl;/var/www/expresso/security/crls/
-http://icp.caixa.gov.br/repositorio/ACCAIXAJUS.crl;/var/www/expresso/security/crls/
-http://ccdhom.serpro.gov.br/lcr/homacraizv2.crl;/var/www/expresso/security/crls/
-http://ccdhom.serpro.gov.br/lcr/homserprov2.crl;/var/www/expresso/security/crls/
-http://ccdhom.serpro.gov.br/lcr/acserprorfbv1.crl;/var/www/expresso/security/crls/
+# url ( url apontando a crl - uma por linha)
+http://ccd.serpro.gov.br/lcr/serproacfv1.crl
+http://ccd.serpro.gov.br/lcr/serproacfv2.crl
+http://ccd.serpro.gov.br/lcr/ACPRv1.crl
+http://ccd.serpro.gov.br/lcr/ACPRv2.crl
+http://ccd.serpro.gov.br/lcr/acserprorfb.crl
+http://acraiz.icpbrasil.gov.br/LCRacraizv1.crl
+http://acraiz.icpbrasil.gov.br/LCRacraiz.crl
+http://ccd.serpro.gov.br/lcr/acserpro.crl
+http://ccd.serpro.gov.br/lcr/acserprojus.crl
+http://ccd.serpro.gov.br/lcr/acserprorfb.crl
+http://ccd.serpro.gov.br/lcr/acserprosrf.crl
+http://icp.caixa.gov.br/repositorio/ACCAIXA1.crl
+http://icp.caixa.gov.br/repositorio/ACCAIXAPF1.crl
+http://icp.caixa.gov.br/repositorio/ACCAIXAPJ1.crl
+http://icp.caixa.gov.br/repositorio/ACCAIXAJUS.crl
+http://ccdhom.serpro.gov.br/lcr/homacraizv2.crl
+http://ccdhom.serpro.gov.br/lcr/homserprov2.crl
+http://ccdhom.serpro.gov.br/lcr/acserprorfbv1.crl

branches/2.2/security/crl_admin/crl_admin.py

@@ -2 +2 @@
 # -*- coding: utf-8 -*-
 
-import os, popen2, fcntl, select, time
+import os, popen2, fcntl, select, time, sys
 from string import replace
+
+# Lista com as urls das CRLs, e onde colocar(path) os arquivos obtidos ....
+CRL_urls = []
+Confs = {}
+
+#Confs['dirtemp']         # path para a pasta temp para conter arquivos auxiliares....
+#Confs['CAfile']          # Arquivo com cadeia dos certificados das CAs, para verificacao das CRLs.
+#Confs['CRLs']            # path para a pasta onde as CRLs sao salvas
+#Confs['arquivos_crls']   # path para o arquivo de configuracao contendo urls das crls e paths onde serao baixadas...
+#Confs['log']             # Arquivo onde sera grada log de execucao da qtualizacao/verificacao das crls.
+                          # Deixe 'log' igual a vazio para ver as msgs de execucao no terminal.......
+#Confs['lenMax']          # Tamanho maximo do arquivo de log de atualização das crls antes do rotate.....
+#Confs['bkpNum']          # Numero de arquivos de log de atualização das crls mantidos pelo rotate....
+
+def ler_arquivo_com_configuracao():
+    # Esta funcao le o arquivo com configuracao geral(linguagen php) para tratar certs.
+    import os,sys
+    BASE = os.path.realpath(__file__).split(os.sep + 'security')[0] # BASE igual a pasta inicial(raiz) do Expresso
+    os.chdir(BASE + '/security/classes')
+    # Esta funcao le o arquivo com configuracao geral(linguagen php) para tratar certs.
+    conf_file = BASE + '/security/classes/Verifica_Certificado_conf.php'
+    e = open(conf_file)
+    r = e.read()
+    aux1 = r.split('\n')
+    # primeiro recupera BASE ...
+    for linha in aux1:
+        linha = linha.strip()
+        if linha[0:16] == "$GLOBALS['BASE']":
+            Confs['BASE'] = BASE
+            break
+    # Agora os demais ...
+    for linha in aux1:
+        linha = linha.strip()
+        if linha[0:10] == "$GLOBALS['":
+          if linha[0:16] != "$GLOBALS['BASE']":
+            aux2 = linha.split(';')
+            if aux2[0] != '':
+                aux2a = aux2[0].split("'")
+                aux3 = aux2[0].split("=")
+                Confs[aux2a[1]] = aux3[1].replace(' ','')
+    # Finalmente trata as ocorrencias de BASE ...
+    for chave in Confs.keys():
+        if chave != 'BASE':
+            aux = Confs[chave].replace("$GLOBALS['BASE'].",Confs['BASE'])
+            Confs[chave] = aux.replace("'",'')
+    return
+
+def ler_conf():
+    # Esta funcao le o arquivo passado como parametro e gera a lista CRL_urls.
+    # O arquivo he esperado no formato:
+    # url ( url = aponta onde buscar a crl,  uma por linha.
+    e = open(Confs['arquivos_crls'])
+    r = e.read()
+    aux1 = r.split('\n')
+    for linha in aux1:
+        if linha[0:1] != '#':
+            if linha.strip() != '':
+                # Faz split com ';' para manter compatibilidade com arquivos formato antigo ...
+                CRL_urls.append([linha.split(';')[0].strip(),Confs['CRLs']])
+    return
+
 
 theOutput = [] 
 
-def fazlog(dados):
-        for i in dados:
-                aux = i.split('\n')
-                for x in aux:
-                        logging.info(x)
+def fazlog(mL,dados):
+    for i in dados:
+        aux = i.split('\n')
+        for x in aux:
+            mL.info(x)
 
 def makeNonBlocking(fd): 
-     fl = fcntl.fcntl(fd, fcntl.F_GETFL) 
-     try: 
-        fcntl.fcntl(fd, fcntl.F_SETFL, fl | os.O_NDELAY) 
-     except AttributeError: 
-        fcntl.fcntl(fd, fcntl.F_SETFL, fl | fcntl.FNDELAY) 
+    fl = fcntl.fcntl(fd, fcntl.F_GETFL)
+    try:
+        fcntl.fcntl(fd, fcntl.F_SETFL, fl | os.O_NDELAY)
+    except AttributeError:
+        fcntl.fcntl(fd, fcntl.F_SETFL, fl | fcntl.FNDELAY)
   
 def ExeCmd(command): 
@@ -55 +116 @@
 # a cadeia de certificados para verificar as crls(CAfile).
 # Apos o import, executar a funcao ler_conf() .....
-from crl_admin_confg import *
+#from crl_admin_confg import *
+ler_arquivo_com_configuracao()
+try:
+    ler_arquivo_com_configuracao()
+except:
+    print 'Erro lendo arquivos de configuracao(ERR-01X)';
+    sys.exit(1);
 
+try:
+    # A execucao da funcao a seguir carrega a lista das CRLs (CRL_urls) que devem ser processadas...
+    ler_conf()
+except:
+    print 'Erro lendo arquivos de configuracao(ERR-02X)';
+    sys.exit(1);
+
+CAfile =  Confs['CAs']
+CRLs = Confs['CRLs']
+arquivo = Confs['arquivos_crls']
+log = Confs['log']      # Deixe log = '' para saida da log na console .....
+lenMax = int(Confs['lenMax']) # Tamanho maximo do arquivo de log para iniciar o rotate....
+bkpNum = int(Confs['bkpNum']) # Número de arquivos de log mantidos pelo rotate....
 import logging
+import logging.handlers
 
-# Configura como sera a log .....
-logging.basicConfig(level=logging.INFO,
-                    format='%(asctime)s %(levelname)s %(message)s',
-                    filename=log,
-                    filemode='a')
+# Prepara para fazer a log das atualizações das crls ...
+fm = logging.Formatter('%(asctime)s %(levelname)s %(message)s')
+mL = logging.getLogger('ML')
+mL.setLevel(logging.DEBUG)
+hd = logging.handlers.RotatingFileHandler(log, mode='a', maxBytes=lenMax, backupCount=bkpNum)
+hd.setFormatter(fm)
+mL.addHandler(hd)
 
-# A execucao da funcao a seguir carrega a lista das CRLs (CRL_urls) que devem ser processadas...
-ler_conf()
+if len(sys.argv) > 1:
+    if os.path.isfile(sys.argv[1]):
+        Confs['arquivos_crls'] = sys.argv[1]
+    else:
+        mL.critical('Erro lendo arquivo de configuracao' + sys.argv[1] + ': Nao localizado.\n')
+        sys.exit(2)
+
+mL.info('Processando arquivo de urls para obter crls: ' +Confs['arquivos_crls'] + ' .')
 
 for crl in CRL_urls:
-        arquivo = crl[1] + os.path.split(crl[0])[1]
-        url = crl[0] 
-
-        # Obtendo o arquivo com wget ... 
-        logging.info('Buscando a CRL: ' + url)
-        saida_wget = ExeCmd("wget " + url + " -O " + arquivo)
-
-        # Abaixo estamos comandando a execucao "openssl crl" passando o arquivo crl .
-        # O resultado esta em saida. Tem de ser 'verify OK' .
-        if os.path.exists(arquivo) and os.path.getsize(arquivo) > 0:
-                logging.info('Verificando ' + arquivo + '(' + str(os.path.getsize(arquivo)) + ' Bytes)')
-                saida = ExeCmd('openssl crl -CAfile ' + CAfile + '  -in ' + arquivo + ' -inform DER -noout')
-                # usa a funcao fazlog porque saida he um array.....
-                fazlog(saida)
-                try:
-                        aux1 = replace(saida[1],'\n','')
-                        if not aux1 == 'verify OK':
-                                logging.critical('Erro verificando a CRL ' + arquivo + '\n')
-                                try:
-                                        os.remove(arquivo)
-                                except:
-                                        pass
-                                continue
-                        # A crl foi verificada e est OK.... 
-                        # Atuaiza a data do arquivo...
-                        saida = ExeCmd('touch ' + arquivo)
-                except:
-                        logging.critical('Erro processando o status da verificacao da CRL ' + arquivo + '\n')
-                        try:
-                                os.remove(arquivo)
-                        except:
-                                pass
-                        continue
-        else:
-                # usa a funcao fazlog porque saida_wget he um array.....
-                fazlog(saida_wget) 
-                logging.critical('Nao foi possivel obter a CRL ' + url + '\n')
-                try:
-                        os.remove(arquivo)
-                except:
-                        pass
-
+    arquivo = crl[1].strip() + os.path.split(crl[0])[1].strip()
+    url = crl[0].strip()
+    # Obtendo o arquivo com wget ...
+    mL.info('Buscando a CRL: ' + url)
+    saida_wget = ExeCmd("wget --timeout=10 --tries=1 " + url + " -O " + arquivo)
+    # Abaixo estamos comandando a execucao "openssl crl" passando o arquivo crl .
+    # O resultado esta em saida. Tem de ser 'verify OK' .
+    if os.path.exists(arquivo) and os.path.getsize(arquivo) > 0:
+        mL.info('Verificando ' + arquivo + '(' + str(os.path.getsize(arquivo)) + ' Bytes)')
+        saida = ExeCmd('openssl crl -CAfile ' + CAfile + '  -in ' + arquivo + ' -inform DER -noout')
+        # usa a funcao fazlog porque saida he um array.....
+        fazlog(mL,saida)
+        try:
+            aux1 = replace(saida[1],'\n','')
+            if not aux1 == 'verify OK':
+                mL.critical('Erro verificando a CRL ' + arquivo + '\n')
+                try:
+                    os.remove(arquivo)
+                except:
+                    pass
+                continue
+            # A crl foi verificada e est OK....
+            # Atuaiza a data do arquivo...
+            saida = ExeCmd('touch ' + arquivo)
+        except:
+            mL.critical('Erro processando o status da verificacao da CRL ' + arquivo + '\n')
+            try:
+                os.remove(arquivo)
+            except:
+                pass
+            continue
+    else:
+            # usa a funcao fazlog porque saida_wget he um array.....
+            fazlog(mL,saida_wget)
+            mL.critical('Nao foi possivel obter a CRL ' + url + '\n')
+            try:
+                os.remove(arquivo)
+            except:
+                pass

branches/2.2/security/crl_admin/crl_admin_confg.py

@@ -3 +3 @@
 # Lista com as urls das CRLs, e onde colocar(path) os arquivos obtidos ....
 CRL_urls = []
+Confs = {}
 
-# arquivo : path para o arquivo de configuracao contendo urls das crls e paths onde serao baixadas...
-arquivo = '/var/www/expresso/security/crl_admin/crl_admin.conf'
-                   
-# Arquivo onde sera grada log de execucao da qtualizacao/verificacao das crls.
-log = '/var/www/expresso/logs/arquivo_crls.log'
-
-# Deixe 'log' igual a vazio para ver as msgs de execução no terminal.......
-#log = ''
-
-# Arquivo com cadeia dos certificados das CAs, para verificacao das CRLs.
-CAfile = '/var/www/expresso/security/cas/todos.cer'
+#Confs['dirtemp']         # path para a pasta temp para conter arquivos auxiliares....
+#Confs['CAfile']          # Arquivo com cadeia dos certificados das CAs, para verificacao das CRLs.
+#Confs['CRLs']            # path para a pasta onde as CRLs sao salvas
+#Confs['arquivos_crls']   # path para o arquivo de configuracao contendo urls das crls e paths onde serao baixadas...
+#Confs['log']             # Arquivo onde sera grada log de execucao da qtualizacao/verificacao das crls.
+                          # Deixe 'log' igual a vazio para ver as msgs de execucao no terminal.......
+def ler_arquivo_com_configuracao():
+    # Esta funcao le o arquivo com configuracao geral(linguagen php) para tratar certs.
+    import os,sys
+    BASE = os.path.realpath(__file__).split(os.sep + 'security')[0] # BASE igual a pasta inicial(raiz) do Expresso
+    os.chdir(BASE + '/security/classes')
+    # Esta funcao le o arquivo com configuracao geral(linguagen php) para tratar certs.
+    conf_file = BASE + '/security/classes/Verifica_Certificado_conf.php'
+    e = open(conf_file)
+    r = e.read()
+    aux1 = r.split('\n')
+    # primeiro recupera BASE ...
+    for linha in aux1:
+        linha = linha.strip()
+        if linha[0:16] == "$GLOBALS['BASE']":
+            Confs['BASE'] = BASE
+            break
+    # Agora os demais ...
+    for linha in aux1:
+        linha = linha.strip()
+        if linha[0:10] == "$GLOBALS['":
+          if linha[0:16] != "$GLOBALS['BASE']":
+            aux2 = linha.split(';')
+            if aux2[0] != '':
+                aux2a = aux2[0].split("'")
+                aux3 = aux2[0].split("=")
+                Confs[aux2a[1]] = aux3[1].replace(' ','')
+    # Finalmente trata as ocorrencias de BASE ...
+    for chave in Confs.keys():
+        if chave != 'BASE':
+            aux = Confs[chave].replace("$GLOBALS['BASE'].",Confs['BASE'])
+            Confs[chave] = aux.replace("'",'')
+    return
 
 def ler_conf():
-        # Esta funcao le o arquivo passado como parametro e gera a lista CRL_urls.
-        # O arquivo he esperado no formato:
-        # url;path       ( url = aponta onde buscar a crl,  e path aponta onde salvar a crl obtida. 
-        e = open(arquivo)
-        r = e.read()
-        aux1 = r.split('\n')
-        for linha in aux1:
-                if linha[0:1] != '#':
-                        aux2 = linha.split(';')
-                        if aux2[0] != '':
-                                CRL_urls.append(aux2)
-        return
+    # Esta funcao le o arquivo passado como parametro e gera a lista CRL_urls.
+    # O arquivo he esperado no formato:
+    # url ( url = aponta onde buscar a crl,  uma por linha.
+    ler_arquivo_com_configuracao()
+    e = open(Confs['arquivos_crls'])
+    r = e.read()
+    aux1 = r.split('\n')
+    for linha in aux1:
+        if linha[0:1] != '#':
+            if linha != '':
+                # Faz split com ';' para manter compatibilidade com arquivos formato antigo ...
+                CRL_urls.append([linha.split(';')[0],Confs['CRLs']])
+    return