OpenSSL: Allow server connection parameters to be configured
This extends OpenSSL version of tls_connection_set_verify() to support the new flags argument. Signed-off-by: Jouni Malinen <j@w1.fi>
This commit is contained in:
		
							parent
							
								
									bfbebd2665
								
							
						
					
					
						commit
						93bc654996
					
				
					 1 changed files with 36 additions and 27 deletions
				
			
		|  | @ -1943,6 +1943,38 @@ static int tls_connection_set_subject_match(struct tls_connection *conn, | ||||||
| } | } | ||||||
| 
 | 
 | ||||||
| 
 | 
 | ||||||
|  | static void tls_set_conn_flags(SSL *ssl, unsigned int flags) | ||||||
|  | { | ||||||
|  | #ifdef SSL_OP_NO_TICKET | ||||||
|  | 	if (flags & TLS_CONN_DISABLE_SESSION_TICKET) | ||||||
|  | 		SSL_set_options(ssl, SSL_OP_NO_TICKET); | ||||||
|  | #ifdef SSL_clear_options | ||||||
|  | 	else | ||||||
|  | 		SSL_clear_options(ssl, SSL_OP_NO_TICKET); | ||||||
|  | #endif /* SSL_clear_options */ | ||||||
|  | #endif /* SSL_OP_NO_TICKET */ | ||||||
|  | 
 | ||||||
|  | #ifdef SSL_OP_NO_TLSv1 | ||||||
|  | 	if (flags & TLS_CONN_DISABLE_TLSv1_0) | ||||||
|  | 		SSL_set_options(ssl, SSL_OP_NO_TLSv1); | ||||||
|  | 	else | ||||||
|  | 		SSL_clear_options(ssl, SSL_OP_NO_TLSv1); | ||||||
|  | #endif /* SSL_OP_NO_TLSv1 */ | ||||||
|  | #ifdef SSL_OP_NO_TLSv1_1 | ||||||
|  | 	if (flags & TLS_CONN_DISABLE_TLSv1_1) | ||||||
|  | 		SSL_set_options(ssl, SSL_OP_NO_TLSv1_1); | ||||||
|  | 	else | ||||||
|  | 		SSL_clear_options(ssl, SSL_OP_NO_TLSv1_1); | ||||||
|  | #endif /* SSL_OP_NO_TLSv1_1 */ | ||||||
|  | #ifdef SSL_OP_NO_TLSv1_2 | ||||||
|  | 	if (flags & TLS_CONN_DISABLE_TLSv1_2) | ||||||
|  | 		SSL_set_options(ssl, SSL_OP_NO_TLSv1_2); | ||||||
|  | 	else | ||||||
|  | 		SSL_clear_options(ssl, SSL_OP_NO_TLSv1_2); | ||||||
|  | #endif /* SSL_OP_NO_TLSv1_2 */ | ||||||
|  | } | ||||||
|  | 
 | ||||||
|  | 
 | ||||||
| int tls_connection_set_verify(void *ssl_ctx, struct tls_connection *conn, | int tls_connection_set_verify(void *ssl_ctx, struct tls_connection *conn, | ||||||
| 			      int verify_peer, unsigned int flags, | 			      int verify_peer, unsigned int flags, | ||||||
| 			      const u8 *session_ctx, size_t session_ctx_len) | 			      const u8 *session_ctx, size_t session_ctx_len) | ||||||
|  | @ -1962,6 +1994,9 @@ int tls_connection_set_verify(void *ssl_ctx, struct tls_connection *conn, | ||||||
| 		SSL_set_verify(conn->ssl, SSL_VERIFY_NONE, NULL); | 		SSL_set_verify(conn->ssl, SSL_VERIFY_NONE, NULL); | ||||||
| 	} | 	} | ||||||
| 
 | 
 | ||||||
|  | 	tls_set_conn_flags(conn->ssl, flags); | ||||||
|  | 	conn->flags = flags; | ||||||
|  | 
 | ||||||
| 	SSL_set_accept_state(conn->ssl); | 	SSL_set_accept_state(conn->ssl); | ||||||
| 
 | 
 | ||||||
| 	/*
 | 	/*
 | ||||||
|  | @ -3779,33 +3814,7 @@ int tls_connection_set_params(void *tls_ctx, struct tls_connection *conn, | ||||||
| 		return -1; | 		return -1; | ||||||
| 	} | 	} | ||||||
| 
 | 
 | ||||||
| #ifdef SSL_OP_NO_TICKET | 	tls_set_conn_flags(conn->ssl, params->flags); | ||||||
| 	if (params->flags & TLS_CONN_DISABLE_SESSION_TICKET) |  | ||||||
| 		SSL_set_options(conn->ssl, SSL_OP_NO_TICKET); |  | ||||||
| #ifdef SSL_clear_options |  | ||||||
| 	else |  | ||||||
| 		SSL_clear_options(conn->ssl, SSL_OP_NO_TICKET); |  | ||||||
| #endif /* SSL_clear_options */ |  | ||||||
| #endif /*  SSL_OP_NO_TICKET */ |  | ||||||
| 
 |  | ||||||
| #ifdef SSL_OP_NO_TLSv1 |  | ||||||
| 	if (params->flags & TLS_CONN_DISABLE_TLSv1_0) |  | ||||||
| 		SSL_set_options(conn->ssl, SSL_OP_NO_TLSv1); |  | ||||||
| 	else |  | ||||||
| 		SSL_clear_options(conn->ssl, SSL_OP_NO_TLSv1); |  | ||||||
| #endif /* SSL_OP_NO_TLSv1 */ |  | ||||||
| #ifdef SSL_OP_NO_TLSv1_1 |  | ||||||
| 	if (params->flags & TLS_CONN_DISABLE_TLSv1_1) |  | ||||||
| 		SSL_set_options(conn->ssl, SSL_OP_NO_TLSv1_1); |  | ||||||
| 	else |  | ||||||
| 		SSL_clear_options(conn->ssl, SSL_OP_NO_TLSv1_1); |  | ||||||
| #endif /* SSL_OP_NO_TLSv1_1 */ |  | ||||||
| #ifdef SSL_OP_NO_TLSv1_2 |  | ||||||
| 	if (params->flags & TLS_CONN_DISABLE_TLSv1_2) |  | ||||||
| 		SSL_set_options(conn->ssl, SSL_OP_NO_TLSv1_2); |  | ||||||
| 	else |  | ||||||
| 		SSL_clear_options(conn->ssl, SSL_OP_NO_TLSv1_2); |  | ||||||
| #endif /* SSL_OP_NO_TLSv1_2 */ |  | ||||||
| 
 | 
 | ||||||
| #ifdef HAVE_OCSP | #ifdef HAVE_OCSP | ||||||
| 	if (params->flags & TLS_CONN_REQUEST_OCSP) { | 	if (params->flags & TLS_CONN_REQUEST_OCSP) { | ||||||
|  |  | ||||||
		Loading…
	
		Reference in a new issue
	
	 Jouni Malinen
						Jouni Malinen