File: //usr/lib/python3/dist-packages/certbot/__pycache__/crypto_util.cpython-39.pyc
a
������`�R�����������������������@���s$���d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z�m Z ��d�d�l
m�Z���d�d�l�m
Z
��d�d�l�m�Z�m�Z���d�d�l�m�Z���d�d l�m�Z���d�d
l�m�Z�m�Z�m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d
l m!Z"��d�d�l#m$Z$��d�d�l%m&Z&��d�d�l%m'Z'��d�d�l%m(Z(��d�d�l)m*Z*��e��+e,��Z-dOd�d���Z.d�d���Z/d�d���Z0d�d���Z1d�d���Z2dPd!d"��Z3d#d$��Z4d%d&��Z5d'd(��Z6d)d*��Z7d+d,��Z8d-d.��Z9d/d0��Z:e�j;f�d1d2��Z<e�j;f�d3d4��Z=e�j;f�d5d6��Z>d7d8��Z?d9d:��Z@e�j;f�d;d<��ZAe�j;f�d=d>��ZBd?d@��ZCdAdB��ZDdCdD��ZEdEdF��ZFe��GdGe�jH��ZIdHdI��ZJdJdK��ZKdQdMdN��ZLd�S�)Rz�Certbot client crypto utility functions.
.. todo:: Make the transition to use PSS rather than PKCS1_v1_5 when the server
is capable of handling the signatures.
�����N)���x509)���InvalidSignature��UnsupportedAlgorithm)���default_backend)���ec)���ECDSA��EllipticCurvePublicKey)���PKCS1v15)���RSAPublicKey)���Encoding��NoEncryption�
PrivateFormat)���crypto)���SSL)���crypto_util)���IO)���errors)��
interfaces)���util)���os��rsa� secp256r1��key-certbot.pemc������������
���
���C���s����z�t�|�|�p�d�|�d���}�W�n6��t�yL��}���z�t�j�d�d�d�����|���W�Y�d�}�~�n
d�}�~�0�0�t�j���t�j���}�t �
|�d�|�j�����t ��t
j���|�|���d�d ��\�}�} |�����|���|�����W�d���������n�1�s�0�������Y���|�d
k�r�t���d�|�| ����n�t���d�|�| ����t ��| |���S�)
ai���Initializes and saves a privkey.
Inits key and saves it in PEM format on the filesystem.
.. note:: keyname is the attempted filename, it may be different if a file
already exists at the path.
:param int key_size: key size in bits if key size is rsa.
:param str key_dir: Key save directory.
:param str key_type: Key Type [rsa, ecdsa]
:param str elliptic_curve: Name of the elliptic curve if key type is ecdsa.
:param str keyname: Filename of key
:returns: Key
:rtype: :class:`certbot.util.Key`
:raises ValueError: If unable to generate the key given key_size.
r����)���bits��elliptic_curve��key_type��T����exc_infoNi����i������wbr����z Generating RSA key (%d bits): %sz"Generating ECDSA key (%d bits): %s)���make_key�
ValueError��logger��error��zope� component�
getUtilityr������IConfigr������make_or_verify_dir��strict_permissions��unique_filer������path��join��write��debugZ�Key)
Z�key_sizeZ�key_dirr����r����Z�keynameZ�key_pem��err��configZ�key_f��key_path��r2����5/usr/lib/python3/dist-packages/certbot/crypto_util.py�
init_save_key'���s$���������
�
�������������������(�������r4���c��������������������C���s����t�j���t�j���}�t�j�|�j�|�|�j�d���}�t �
|�d�|�j�����t ��t
j���|�d���d�d���\�}�}�|�����|���|�����W�d���������n�1�sr0�������Y���t���d�|�����t ��|�|�d���S�) a2���Initialize a CSR with the given private key.
:param privkey: Key to include in the CSR
:type privkey: :class:`certbot.util.Key`
:param set names: `str` names to include in the CSR
:param str path: Certificate save directory.
:returns: CSR
:rtype: :class:`certbot.util.CSR`
)���must_staplei����z�csr-certbot.pemi����r����Nz�Creating CSR: %s��pem)�r$���r%���r&���r����r'�����acme_crypto_utilZ�make_csrr6���r5���r����r(���r)���r*���r����r+���r,���r-���r"���r.�����CSR)���privkey��namesr+���r0���Z�csr_pemZ�csr_fZ�csr_filenamer2���r2���r3����
init_save_csrT���s����������
�������������(���r;���c��������������������C���sH���z�t���t�j�|���}�|���|�������W�S���t�j�yB������t�j�d�d�d�����Y�d�S�0�d�S�)�z�Validate CSR.
Check if `csr` is a valid CSR for the given domains.
:param str csr: CSR in PEM.
:returns: Validity of CSR.
:rtype: bool
r����Tr����FN)�r������load_certificate_request��FILETYPE_PEM��verifyZ
get_pubkey��Errorr"���r.���)���csr��reqr2���r2���r3���� valid_csrw���s��������������������rB���c��������������������C���sR���t���t�j�|���}�t���t�j�|���}�z�|���|���W�S���t�j�yL������t�j�d�d�d�����Y�d�S�0�d�S�)�z�Does private key correspond to the subject public key in the CSR?
:param str csr: CSR in PEM.
:param str privkey: Private key file contents (PEM)
:returns: Correspondence of private key to CSR subject public key.
:rtype: bool
r����Tr����FN)�r����r<���r=�����load_privatekeyr>���r?���r"���r.���)�r@���r9���rA���Z�pkeyr2���r2���r3�����csr_matches_pubkey����s�����
����������������rD���c��������������������C���s����t�j�}�t�j�}�z�|�t�j�|���}�W�nH��t�j�yd������z�|�|�|���}�W�n$��t�j�y^������t���d���|�������Y�n�0�Y�n�0�t�|���}�t���|�|���}�|�t j
|�|�d�d���|�f�S�)�a/���Import a CSR file, which can be either PEM or DER.
:param str csrfile: CSR filename
:param str data: contents of the CSR file
:returns: (`crypto.FILETYPE_PEM`,
util.CSR object representing the CSR,
list of domains requested in the CSR)
:rtype: tuple
z�Failed to parse CSR file: {0}r6���)���file��dataZ�form)�r����r=���r<����
FILETYPE_ASN1r?���r������format�"_get_names_from_loaded_cert_or_reqZ�dump_certificate_requestr����r8���)�Z�csrfilerF�����PEM��loadr@���Z�domainsZ�data_pemr2���r2���r3�����import_csr_file����s����������������������������rL��������c����������������
���C���s&���|�d�k�r8|�d�k�r t���d���|�������t�����}�|���t�j�|�����n�|�d�k���r�zD|�����}�|�d�v�rtt�j t
t�|�����d�����t���d���}�n�t���d���|�������W�nZ��t�y�������t���d���|�������Y�n:��t
y���}���z"t���|�t���t�|���������W�Y�d�}�~�n
d�}�~�0�0�|�j�t�j�t�j�t���d ��}�t���t�j�|���}�n�t���d
��|�������t���t�j�|���S�)�aD���Generate PEM encoded RSA|EC key.
:param int bits: Number of bits if key_type=rsa. At least 1024 for RSA.
:param str ec_curve: The elliptic curve to use.
:returns: new RSA or ECDSA key in PEM form with specified number of bits
or of type ec_curve when key_type ecdsa is used.
:rtype: str
r����rM���z�Unsupported RSA key length: {}Z�ecdsa)�Z SECP256R1Z SECP384R1Z SECP521R1N)�Z�curveZ�backendz�Unsupported elliptic curve: {})���encodingrH���Z�encryption_algorithmz0Invalid key_type specified: {}. Use [rsa|ecdsa])�r����r?���rH���r����Z�PKeyZ�generate_keyZ�TYPE_RSA��upperr����Z�generate_private_key��getattrr����� TypeErrorr������sixZ
raise_from��strZ
private_bytesr����rJ���r
���Z�TraditionalOpenSSLr����rC���r=���Z�dump_privatekey)�r����r����r������key��nameZ�_key��eZ�_key_pemr2���r2���r3���r �������s4���������������
�����������������������,���������������r ���c���������������� ���C���s4���z�t���t�j�|�������W�S���t�t�j�f�y.������Y�d�S�0�d�S�)�z�Is valid RSA private key?
:param str privkey: Private key file contents in PEM
:returns: Validity of private key.
:rtype: bool
FN)�r����rC���r=���Z�checkrQ���r?���)�r9���r2���r2���r3����
valid_privkey����s����� ������
���rW���c��������������������C���s"���t�|�����t�|�����t�|�j�|�j�����d�S�)�a����For checking that your certs were not corrupted on disk.
Several things are checked:
1. Signature verification for the cert.
2. That fullchain matches cert and chain when concatenated.
3. Check that the private key matches the certificate.
:param renewable_cert: cert to verify
:type renewable_cert: certbot.interfaces.RenewableCert
:raises errors.Error: If verification fails.
N)���verify_renewable_cert_sig��verify_fullchain��verify_cert_matches_priv_key� cert_pathr1���)���renewable_certr2���r2���r3�����verify_renewable_cert����s�����
����r]���c����������������
���C���s����z�t�|�j�d����"}�t���|�����t�����}�W�d���������n�1�s60�������Y���t�|�j�d����"}�t���|�����t�����}�W�d���������n�1�st0�������Y���|�����}�t�� ���$��t
|�|�j�|�j�|�j
����W�d���������n�1�s�0�������Y���W�nN��t�t�t�f���y���}���z.d���|�j�|���}�t���|�����t���|�����W�Y�d�}�~�n
d�}�~�0�0�d�S�)�z�Verifies the signature of a RenewableCert object.
:param renewable_cert: cert to verify
:type renewable_cert: certbot.interfaces.RenewableCert
:raises errors.Error: If signature verification fails.
��rbNzbverifying the signature of the certificate located at {0} has failed. Details: {1})���open�
chain_pathr������load_pem_x509_certificate��readr����r[����
public_key��warnings��catch_warnings��verify_signed_payload� signatureZ�tbs_certificate_bytes��signature_hash_algorithm��IOErrorr!���r����rH���r"���� exceptionr����r?���)�r\����
chain_file��chain� cert_file��certZ�pkrV���� error_strr2���r2���r3���rX�������s ���������0���0���
�����&���������
�rX���c��������������������C���s����t���������t���d�����t�|�t���rB|���|�t���|���}�|���|�����|�������n8t�|�t ��rp|���|�t
|�����}�|���|�����|�������n
t���d�����W�d���������n�1�s�0�������Y���d�S�)�a����Check the signature of a payload.
:param RSAPublicKey/EllipticCurvePublicKey public_key: the public_key to check signature
:param bytes signature: the signature bytes
:param bytes payload: the payload bytes
:param cryptography.hazmat.primitives.hashes.HashAlgorithm signature_hash_algorithm: algorithm used to hash the payload
:raises InvalidSignature: If signature verification fails.
:raises errors.Error: If public key type is not supported
��ignorez�Unsupported public key typeN)
rd���re�����simplefilter�
isinstancer
�����verifierr �����updater>���r����r����r����r?���)�rc���rg���Z�payloadrh���rs���r2���r2���r3���rf��� ���s������
�
�
�������
�
�
�������
�
�rf���c����������������
���C���s~���z,t���t�j���}�|���|�����|���|�����|�������W�nL��t�t�j�f�yx��}���z.d���|�|�|���}�t �
|�����t���|�����W�Y�d�}�~�n
d�}�~�0�0�d�S�)�z� Verifies that the private key and cert match.
:param str cert_path: path to a cert in PEM format
:param str key_path: path to a private key file
:raises errors.Error: If they don't match.
z�verifying the certificate located at {0} matches the private key located at {1} has failed. Details: {2}N)�r����Z�ContextZ
SSLv23_METHODZ�use_certificate_fileZ�use_privatekey_fileZ�check_privatekeyri���r?���rH���r"���rj���r����)�r[���r1�����contextrV���ro���r2���r2���r3���rZ���?���s����������
�
�������������
�rZ���c������������ ���
���C���s4���z�t�|�j�����}�|�����}�W�d���������n�1�s*0�������Y���t�|�j�����}�|�����}�W�d���������n�1�s\0�������Y���t�|�j�����}�|�����}�W�d���������n�1�s�0�������Y���|�|���|�k�r�d�}�|���|�j���}�t���|�����W�nn��t ��y���}���z*d���|���}�t
��|�����t���|�����W�Y�d�}�~�n4d�}�~�0���t�j���y.��}���z�|���W�Y�d�}�~�n
d�}�~�0�0�d�S�)�z� Verifies that fullchain is indeed cert concatenated with chain.
:param renewable_cert: cert to verify
:type renewable_cert: certbot.interfaces.RenewableCert
:raises errors.Error: If cert and chain do not combine to fullchain.
Nz.fullchain does not match cert + chain for {0}!z8reading one of cert, chain, or fullchain has failed: {0})�r_���r`���rb���r[���Z�fullchain_pathrH���Z�lineagenamer����r?���ri���r"���rj���) r\���rk���rl���rm���rn���Z�fullchain_fileZ fullchainro���rV���r2���r2���r3���rY���U���s"���������&���&���&�����������
�
�����rY���c��������������������C���s����g�}�t�j�t�j�f�D�]L}�z�t���|�|���|�f�W�����S���t�j�yZ��}���z�|���|�����W�Y�d�}�~�q�d�}�~�0�0�q�t���d���d���d�d���|�D�����������d�S�)�z:Load PEM/DER certificate.
:raises errors.Error:
Nz�Unable to load: {0}��,c��������������������s���s����|�]�}�t�|���V���q�d�S���N)�rS���)���.0r#���r2���r2���r3���� <genexpr>~���s������z-pyopenssl_load_certificate.<locals>.<genexpr>) r����r=���rG�����load_certificater?�����appendr����rH���r,���)�rF���Z�openssl_errorsZ file_typer#���r2���r2���r3�����pyopenssl_load_certificatep���s����������������"�����r|���c��������������������C���s6���z�|�|�|���W�S���t�j�y0������t�j�d�d�d�������Y�n�0�d�S�)�Nr����Tr����)�r����r?���r"���r#�����Z�cert_or_req_str� load_func��typr2���r2���r3�����_load_cert_or_req����s
�������������r����c��������������������C���s����t���t�|�|�|�����S�rw���)�r7���Z�_pyopenssl_cert_or_req_sanr����r}���r2���r2���r3�����_get_sans_from_cert_or_req����s����������r����c��������������������C���s����t�|�t�j�|���S�)�z�Get a list of Subject Alternative Names from a certificate.
:param str cert: Certificate (encoded).
:param typ: `crypto.FILETYPE_PEM` or `crypto.FILETYPE_ASN1`
:returns: A list of Subject Alternative Names.
:rtype: list
)�r����r����rz���)�rn���r���r2���r2���r3�����get_sans_from_cert����s�����
����r����c��������������������C���s����t�|�|�|���}�t�|���S�rw���)�r����rI���)�Z�cert_or_reqr~���r�����loaded_cert_or_reqr2���r2���r3�����_get_names_from_cert_or_req����s��������r����c��������������������C���s
���t���|���S�rw���)�r7���Z _pyopenssl_cert_or_req_all_names)�r����r2���r2���r3���rI�������s������rI���c��������������������C���s����t�|�t�j�|���S�)�z�Get a list of domains from a cert, including the CN if it is set.
:param str cert: Certificate (encoded).
:param typ: `crypto.FILETYPE_PEM` or `crypto.FILETYPE_ASN1`
:returns: A list of domain names.
:rtype: list
)�r����r����rz���)�r@���r���r2���r2���r3�����get_names_from_cert����s�����
����r����c��������������������C���s����t���|�|���S�)�z�Dump certificate chain into a bundle.
:param list chain: List of `crypto.X509` (or wrapped in
:class:`josepy.util.ComparableX509`).
)�r7�����dump_pyopenssl_chain)�rl���Z�filetyper2���r2���r3���r��������s����� r����c��������������������C���s����t�|�t�j�j���S�)�z�When does the cert at cert_path start being valid?
:param str cert_path: path to a cert in PEM format
:returns: the notBefore value from the cert at cert_path
:rtype: :class:`datetime.datetime`
)���_notAfterBeforer������X509Z
get_notBefore��r[���r2���r2���r3���� notBefore����s����� r����c��������������������C���s����t�|�t�j�j���S�)�z�When does the cert at cert_path stop being valid?
:param str cert_path: path to a cert in PEM format
:returns: the notAfter value from the cert at cert_path
:rtype: :class:`datetime.datetime`
)�r����r����r����Z�get_notAfterr����r2���r2���r3�����notAfter����s����� r����c����������������
���C���s����t�|�d����"}�t���t�j�|�������}�W�d���������n�1�s20�������Y���|�|���}�|�d�d�����d�|�d�d�����d�|�d�d�����d�|�d�d ����d
|�d d�����d
|�d�d�����g�}�d���|���}�t�j�r�|���d
��}�n�|�}�t �
|���S�)�aP���Internal helper function for finding notbefore/notafter.
:param str cert_path: path to a cert in PEM format
:param function method: one of ``crypto.X509.get_notBefore``
or ``crypto.X509.get_notAfter``
:returns: the notBefore or notAfter value from the cert at cert_path
:rtype: :class:`datetime.datetime`
r^���Nr��������������-���������������T�
��������:������������ascii)�r_���r����rz���r=���rb���r,���rR���Z�PY3��decode� pyrfc3339��parse)�r[�����method��fr����Z timestampZ�reformatted_timestampZ�timestamp_bytesZ
timestamp_strr2���r2���r3���r��������s��������0�����������
�������r����c��������������������C���sN���t�����}�t�|�d����$}�|���|�������d�������W�d���������n�1�s<0�������Y���|�����S�)�aN���Compute a sha256sum of a file.
NB: In given file, platform specific newlines characters will be converted
into their equivalent unicode counterparts before calculating the hash.
:param str filename: path to the file whose hash will be computed
:returns: sha256 digest of the file in hexadecimal
:rtype: str
��rz�UTF-8N)���hashlib��sha256r_���rt���rb�����encodeZ hexdigest)���filenamer����Z�file_dr2���r2���r3���� sha256sum����s����������2�r����s@���-----BEGIN CERTIFICATE-----
?
.+?
?
-----END CERTIFICATE-----
?
c��������������������C���sL���t���|�������}�t�|���d�k�r$t���d�����d�d���|�D���}�|�d���d���|�d�d�������f�S�) a����Split fullchain_pem into cert_pem and chain_pem
:param str fullchain_pem: concatenated cert + chain
:returns: tuple of string cert_pem and chain_pem
:rtype: tuple
:raises errors.Error: If there are less than 2 certificates in the chain.
�����zPfailed to parse fullchain into cert and chain: less than 2 certificates in chainc���������������� ���S���s(���g�|�] }�t���t�j�t���t�j�|�����������q�S�r2���)�r����Z�dump_certificater=���rz���r����)�rx���rn���r2���r2���r3����
<listcomp>*���s������������z1cert_and_chain_from_fullchain.<locals>.<listcomp>r����r���������N)���CERT_PEM_REGEX��findallr������lenr����r?���r,���)�Z
fullchain_pem��certsZ�certs_normalizedr2���r2���r3�����cert_and_chain_from_fullchain����s����������
�������r����c��������������������C���sD���t�|�d����"}�t���t�j�|�������}�W�d���������n�1�s20�������Y���|�����S�)�z�Retrieve the serial number of a certificate from certificate path
:param str cert_path: path to a cert in PEM format
:returns: serial number of the certificate
:rtype: int
r^���N)�r_���r����rz���r=���rb���Z�get_serial_number)�r[���r����r����r2���r2���r3�����get_serial_from_cert1���s����� ��0�r����Fc��������������������C���sl���|�D�]N}�t���|�������}�t���|�d���t�����}�|�j���t�j�j ��}�|�r�|�d���j
|�k�r�|�����S�q�|�rdt���d�|�����|�d���S�)�a'���Chooses the first certificate chain from fullchains whose topmost
intermediate has an Issuer Common Name matching issuer_cn (in other words
the first chain which chains to a root whose name matches issuer_cn).
:param fullchains: The list of fullchains in PEM chain format.
:type fullchains: `list` of `str`
:param `str` issuer_cn: The exact Subject Common Name to match against any
issuer in the certificate chain.
:returns: The best-matching fullchain, PEM-encoded, or the first if none match.
:rtype: `str`
���r����z�Certbot has been configured to prefer certificate chains with issuer '%s', but no chain from the CA matched this issuer. Using the default certificate chain instead.)
r����r����r����r����ra���r����Z�issuerZ�get_attributes_for_oidZ�NameOIDZ�COMMON_NAME��valuer"�����info)�Z
fullchainsZ issuer_cnZ�warn_on_no_matchrl���r����Z�top_certZ
top_issuer_cnr2���r2���r3�����find_chain_with_issuer?���s�����
����������
���������r����)�r����r����r����)�rM���r����N)�F)M��__doc__r����Z�loggingrd�����reZ�cryptographyr����Z�cryptography.exceptionsr����r����Z�cryptography.hazmat.backendsr����Z)cryptography.hazmat.primitives.asymmetricr����Z,cryptography.hazmat.primitives.asymmetric.ecr����r����Z1cryptography.hazmat.primitives.asymmetric.paddingr ���Z-cryptography.hazmat.primitives.asymmetric.rsar
���Z,cryptography.hazmat.primitives.serializationr����r����r
���Z�OpenSSLr����r����r����rR���Z�zope.componentr$���Z�acmer����r7���Z�acme.magic_typingr����Z�certbotr����r����r����Z�certbot.compatr����Z getLogger��__name__r"���r4���r;���rB���rD���rL���r ���rW���r]���rX���rf���rZ���rY���r|���r=���r����r����r����r����rI���r����r����r����r����r����r������compile��DOTALLr����r����r����r����r2���r2���r2���r3�����<module>����st���������������������������������������������������
���
-�#������
*����������������
��
�������������������������� ����