File: //usr/lib/python3/dist-packages/acme/__pycache__/crypto_util.cpython-38.pyc
U
�����*Pd�+�����������������������@���s����d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l m
Z
��d�d�l m�Z���d�d�l�m
Z
��d�d�l�m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d l�m�Z���e���e���Z�e�j�Z�G�d
d���d�e���Z�d�d
e�d�f�d�d���Z�d�d�d���Z�d�d���Z�d�d���Z�d�d�d���Z�e
j�f�d�d���Z d�S�) z�Crypto utilities.�����N)���crypto)���SSL)���errors)���Callable)���Optional)���Tuple)���Unionc��������������������@���sD���e�Z�d�Z�d�Z�e�f�d�d���Z�d�d���Z�d�d���Z�G�d�d ��d e���Z d
d���Z
d�S�)
� SSLSocketz�SSL wrapper for sockets.
:ivar socket sock: Original wrapped socket.
:ivar dict certs: Mapping from domain names (`bytes`) to
`OpenSSL.crypto.X509`.
:ivar method: See `OpenSSL.SSL.Context` for allowed values.
c��������������������C���s����|�|�_�|�|�_�|�|�_�d�S���N)���sock��certs��method)���selfr����r����r
�����r�����2/usr/lib/python3/dist-packages/acme/crypto_util.py��__init__(���s����������z�SSLSocket.__init__c��������������������C���s����t�|�j�|���S�r
���)���getattrr������r������namer����r����r������__getattr__-���s������z�SSLSocket.__getattr__c��������������������C���s����|�����}�z�|�j�|���\�}�}�W�n"��t�k
r<������t���d�|�����Y�d�S�X�t���|�j���}�|���t�j ����|���t�j
����|���|�����|���|�����|��
|�����d�S�)�a����SNI certificate callback.
This method will set a new OpenSSL context object for this
connection when an incoming connection provides an SNI name
(in order to serve the appropriate certificate, if any).
:param connection: The TLS connection object on which the SNI
extension was received.
:type connection: :class:`OpenSSL.Connection`
z-Server name (%s) not recognized, dropping SSLN)�Z�get_servernamer������KeyError��logger��debugr������Contextr
�����set_options��OP_NO_SSLv2��OP_NO_SSLv3Z�use_privatekeyZ�use_certificateZ�set_context)�r�����
connectionZ�server_name��key��certZ�new_contextr����r����r������_pick_certificate_cb0���s����������������������������
�
�z�SSLSocket._pick_certificate_cbc��������������������@���s(���e�Z�d�Z�d�Z�d�d���Z�d�d���Z�d�d���Z�d�S�) z�SSLSocket.FakeConnectionz�Fake OpenSSL.SSL.Connection.c��������������������C���s
���|�|�_�d�S�r
���)���_wrapped)�r����r����r����r����r����r����O���s������z!SSLSocket.FakeConnection.__init__c��������������������C���s����t�|�j�|���S�r
���)�r����r!���r����r����r����r����r����R���s������z$SSLSocket.FakeConnection.__getattr__c��������������������G���s
���|�j�����S�r
���)�r!�����shutdown)�r����Z�unused_argsr����r����r����r"���U���s������z!SSLSocket.FakeConnection.shutdownN)���__name__�
__module__��__qualname__��__doc__r����r����r"���r����r����r����r������FakeConnectionJ���s������������r'���c����������������
���C���s����|�j�����\�}�}�t���|�j���}�|���t�j�����|���t�j�����|���|�j ����|��
t���|�|�����}�|�������t
��d�|�����z�|�������W�n.��t�j�k
r���}���z�t���|�����W�5�d�}�~�X�Y�n�X�|�|�f�S�)�Nz�Performing handshake with %s)�r������acceptr����r����r
���r����r����r����Z�set_tlsext_servername_callbackr ���r'����
ConnectionZ�set_accept_stater����r������do_handshake��Error��socket��error)�r����r����Z�addr��contextZ�ssl_sockr-���r����r����r����r(���Y���s������������������������������z�SSLSocket.acceptN)�r#���r$���r%���r&�����_DEFAULT_SSL_METHODr����r����r �����objectr'���r(���r����r����r����r����r �������s����������������r ���i����i,���)���r����c������������
�������C���s����t���|���}�|���|�����d�|�i�}�zBt���d�|�|�|�r@d���|�d���|�d�����n�d�����|�|�f�}�t�j�|�f�|���} W�n.��t�j�k
r���}
��z�t �
|
����W�5�d�}
~
X�Y�n�X�t���| ���h}�t��
|�|���}�|�������|���|�����z�|�������|�������W�n.��t�j
k
r���}
��z�t �
|
����W�5�d�}
~
X�Y�n�X�W�5�Q�R�X�|�����S�)�a����Probe SNI server for SSL certificate.
:param bytes name: Byte string to send as the server name in the
client hello message.
:param bytes host: Host to connect to.
:param int port: Port to connect to.
:param int timeout: Timeout in seconds.
:param method: See `OpenSSL.SSL.Context` for allowed values.
:param tuple source_address: Enables multi-path probing (selection
of source interface). See `socket.creation_connection` for more
info. Available only in Python 2.7+.
:raises acme.errors.Error: In case of any problems.
:returns: SSL certificate presented by the server.
:rtype: OpenSSL.crypto.X509
��source_addressz!Attempting to connect to %s:%d%s.z
from {0}:{1}r���������r1���N)�r����r����Z�set_timeoutr����r������formatr,���Z�create_connectionr-���r����r+����
contextlib��closingr)���Z�set_connect_stateZ�set_tlsext_host_namer*���r"���Z�get_peer_certificate)
r����Z�hostZ�portZ�timeoutr
���r2���r.���Z
socket_kwargsZ�socket_tupler����r-���Z�clientZ
client_sslr����r����r����� probe_snio���s:�����
�
�����������������������������������������
���������&�r7���Fc��������������������C���s����t���t�j�|���}�t�����}�t�j�d�d�d���d�d���|�D�������d���d���g�}�|�rX|���t�j�d�d�d d�������|���|�����|�� |�����|��
d
����|���|�d�����t���t�j�|���S�)�a����Generate a CSR containing a list of domains as subjectAltNames.
:param buffer private_key_pem: Private key, in PEM PKCS#8 format.
:param list domains: List of DNS names to include in subjectAltNames of CSR.
:param bool must_staple: Whether to include the TLS Feature extension (aka
OCSP Must Staple: https://tools.ietf.org/html/rfc7633).
:returns: buffer PEM-encoded Certificate Signing Request.
�����subjectAltNameF��, c��������������������s���s����|�]�}�d�|���V���q�d�S�)�z�DNS:Nr��������.0��dr����r����r����� <genexpr>����s��������z�make_csr.<locals>.<genexpr>��ascii��Z�critical��values����1.3.6.1.5.5.7.1.24s����DER:30:03:02:01:05r������sha256)
r����Z�load_privatekey��FILETYPE_PEMZ�X509Req�
X509Extension��join��encode��append��add_extensions�
set_pubkey��set_version��sign��dump_certificate_request)�Z�private_key_pem��domainsZ�must_stapleZ�private_keyZ�csr�
extensionsr����r����r������make_csr����s2���� ����������������������������������
�
�
���������rN���c������������������������s6���|�����j���t�|���}���d�k�r�|�S���g���f�d�d���|�D�����S�)�Nc������������������������s����g�|�]�}�|���k�r�|���q�S�r����r����r:�����Z�common_namer����r�����
<listcomp>����s����������z4_pyopenssl_cert_or_req_all_names.<locals>.<listcomp>)���get_subject��CN��_pyopenssl_cert_or_req_san)�Z�loaded_cert_or_reqZ�sansr����rO���r����� _pyopenssl_cert_or_req_all_names����s
�����
�������rT���c������������������������sx���d���d�}�d�������t�|�t�j���r$t�j�}�n�t�j�}�|�t�j�|�����d���}�t���d�|���}�|�d�k�rTg�n�|�� d����
|���}�����f�d�d ��|�D���S�)
a����Get Subject Alternative Names from certificate or CSR using pyOpenSSL.
.. todo:: Implement directly in PyOpenSSL!
.. note:: Although this is `acme` internal API, it is used by
`letsencrypt`.
:param cert_or_req: Certificate or CSR.
:type cert_or_req: `OpenSSL.crypto.X509` or `OpenSSL.crypto.X509Req`.
:returns: A list of Subject Alternative Names.
:rtype: `list` of `unicode`
��:r9���Z�DNSz�utf-8z5X509v3 Subject Alternative Name:(?: critical)?\s*(.*)Nr3���c������������������������s$���g�|�]�}�|�������r�|�������d�����q�S�)�r3���)��
startswith��split)�r;�����part��Z�part_separator��prefixr����r����rP�������s��������
�z._pyopenssl_cert_or_req_san.<locals>.<listcomp>)��
isinstancer������X509��dump_certificaterK���Z
FILETYPE_TEXT��decode��re��search��grouprW���)�Z�cert_or_reqZ�parts_separator��func��text��matchZ
sans_partsr����rY���r����rS�������s����������������������������rS����: �Tc���������������� ���C���s����|�s�t�d�����t�����}�|���t�t���t���d�����d�������|�� d�����t��
d�d�d���g�}�|�d���|�����_�|��
|���������|�svt�|���d�k�r�|���t�j
d d
d���d�d
��|�D�����d�������|���|�����|���|�d�k�r�d�n�|�����|���|�����|���|�����|���|�d�����|�S�)�a����Generate new self-signed certificate.
:type domains: `list` of `unicode`
:param OpenSSL.crypto.PKey key:
:param bool force_san:
If more than one domain is provided, all of the domains are put into
``subjectAltName`` X.509 extension and first domain is set as the
subject CN. If only one domain is provided no ``subjectAltName``
extension is used, unless `force_san` is ``True``.
z0Must provide one or more hostnames for the cert.����������s����basicConstraintsTs����CA:TRUE, pathlen:0r����r3���r8���Fs����, c��������������������s���s����|�]�}�d�|�������V���q�d�S�)�s����DNS:N)�rE���r:���r����r����r����r=�������s��������z�gen_ss_cert.<locals>.<genexpr>r?���NrA���)���AssertionErrorr����r\���Z�set_serial_number��int��binasciiZ�hexlify��os��urandomrI���rC���rQ���rR���Z
set_issuer��lenrF���rD���rG���Z�gmtime_adj_notBeforeZ�gmtime_adj_notAfterrH���rJ���)�r����rL���Z
not_beforeZ�validityZ force_sanr����rM���r����r����r������gen_ss_cert����s0�����������
�����������������������������
���
�
���rn���c������������������������s$�����f�d�d�����d�����f�d�d���|�D�����S�)�z�Dump certificate chain into a bundle.
:param list chain: List of `OpenSSL.crypto.X509` (or wrapped in
:class:`josepy.util.ComparableX509`).
:returns: certificate chain bundle
:rtype: bytes
c������������������������s����t�|�t�j���r�|�j�}�t�����|���S�r
���)�r[�����joseZ�ComparableX509��wrappedr����r]���)�r����)���filetyper����r�����
_dump_cert,���s����������z(dump_pyopenssl_chain.<locals>._dump_cert�����c��������������������3���s����|�]�}���|���V���q�d�S�r
���r����)�r;���r����)�rr���r����r����r=���4���s��������z'dump_pyopenssl_chain.<locals>.<genexpr>)�rD���)���chainrq���r����)�rr���rq���r������dump_pyopenssl_chain����s�����
��ru���)�F)�Nre���T)!r&���rj���r5���Z�loggingrk���r_���r,���Z�josepyro���Z�OpenSSLr����r����Z�acmer����Z�acme.magic_typingr����r����r����r����Z getLoggerr#���r����Z
SSLv23_METHODr/���r0���r ���r7���rN���rT���rS���rn���rB���ru���r����r����r����r������<module>����s:���������������������������������
���P������
1
���+������
,