Create sample configuration file when registering
[re6stnet.git] / re6st-conf
1 #!/usr/bin/python
2 import argparse, atexit, errno, os, subprocess, sqlite3, sys, xmlrpclib
3 from OpenSSL import crypto
4 from re6st import utils
5
6 def create(path, text=None, mode=0666):
7     fd = os.open(path, os.O_CREAT | os.O_WRONLY | os.O_TRUNC, mode)
8     try:
9         os.write(fd, text)
10     finally:
11         os.close(fd)
12
13 def main():
14     parser = argparse.ArgumentParser(
15         description="Setup script for re6stnet.",
16         formatter_class=utils.HelpFormatter)
17     _ = parser.add_argument
18     _('--registry', required=True, metavar='URL',
19         help="HTTP URL of the server delivering certificates.")
20     _('--ca-only', action='store_true',
21         help='Only fetch CA from registry and exit.')
22     _('-d', '--dir',
23         help="Directory where the key and certificate will be stored.")
24     _('-r', '--req', nargs=2, action='append', metavar=('KEY', 'VALUE'),
25         help="The registry only sets the Common Name of your certificate,"
26              " which actually encodes your allocated prefix in the network."
27              " You can repeat this option to add any field you want to its"
28              " subject.")
29     _('--email',
30         help="Email address where your token is sent. Use -r option if you"
31              " want to show an email in your certificate.")
32     _('--token', help="The token you received.")
33     _('--anonymous', action='store_true',
34         help="Request an anonymous certificate. No email is required but the"
35              " registry may deliver a longer prefix.")
36     config = parser.parse_args()
37     if config.dir:
38         os.chdir(config.dir)
39     conf_path = 're6stnet.conf'
40     ca_path = 'ca.crt'
41     cert_path = 'cert.crt'
42     key_path = 'cert.key'
43     dh_path = 'dh2048.pem'
44
45     # Establish connection with server
46     s = xmlrpclib.ServerProxy(config.registry, allow_none=True)
47
48     # Get CA
49     create(ca_path, s.getCa())
50
51     if config.ca_only:
52         sys.exit()
53
54     # Generating dh file
55     if not os.access(dh_path, os.F_OK):
56         r = subprocess.call(('openssl', 'dhparam', '-out', dh_path, '2048'))
57         if r:
58             sys.exit(r)
59
60     req = crypto.X509Req()
61     try:
62         with open(cert_path) as f:
63             cert = crypto.load_certificate(crypto.FILETYPE_PEM, f.read())
64         components = dict(cert.get_subject().get_components())
65         components.pop('CN', None)
66     except IOError, e:
67         if e.errno != errno.ENOENT:
68             raise
69         components = {}
70     if config.req:
71         components.update(config.req)
72     subj = req.get_subject()
73     for k, v in components.iteritems():
74         if k == 'CN':
75             sys.exit("CN field is reserved.")
76         if v:
77             setattr(subj, k, v)
78
79     cert_fd = token_advice = None
80     try:
81         if config.anonymous:
82             if not (config.token is config.email is None):
83                 parser.error("--anonymous conflicts with --email/--token")
84         elif not config.token:
85             if not config.email:
86                 config.email = raw_input('Please enter your email address: ')
87             s.requestToken(config.email)
88             token_advice = "Use --token to retry without asking a new token\n"
89             config.token = raw_input('Please enter your token: ')
90
91         try:
92             with open(key_path) as f:
93                 pkey = crypto.load_privatekey(crypto.FILETYPE_PEM, f.read())
94             key = None
95             print "Reusing existing key."
96         except IOError, e:
97             if e.errno != errno.ENOENT:
98                 raise
99             print "Generating 2048-bit key ..."
100             pkey = crypto.PKey()
101             pkey.generate_key(crypto.TYPE_RSA, 2048)
102             key = crypto.dump_privatekey(crypto.FILETYPE_PEM, pkey)
103             create(key_path, key, 0600)
104
105         req.set_pubkey(pkey)
106         req.sign(pkey, 'sha1')
107         req = crypto.dump_certificate_request(crypto.FILETYPE_PEM, req)
108
109         # First make sure we can open certificate file for writing,
110         # to avoid using our token for nothing.
111         cert_fd = os.open(cert_path, os.O_CREAT | os.O_WRONLY, 0666)
112         print "Requesting certificate ..."
113         cert = s.requestCertificate(config.token, req)
114         if not cert:
115             token_advice = None
116             sys.exit("Error: invalid or expired token")
117     except:
118         if cert_fd is not None and not os.lseek(cert_fd, 0, os.SEEK_END):
119             os.remove(cert_path)
120         if token_advice:
121             atexit.register(sys.stdout.write, token_advice)
122         raise
123     os.write(cert_fd, cert)
124     os.ftruncate(cert_fd, len(cert))
125     os.close(cert_fd)
126
127     print "Certificate setup complete."
128
129     if not os.path.lexists(conf_path):
130         create(conf_path, """\
131 registry %s
132 ca %s
133 cert %s
134 key %s
135 dh %s
136 # for udp only:
137 #pp 1194 udp
138 # increase re6stnet verbosity:
139 #verbose 3
140 # enable OpenVPN logging:
141 #ovpnlog
142 # increase OpenVPN verbosity:
143 #O--verb
144 #O3
145 """ % (config.registry, ca_path, cert_path, key_path, dh_path))
146         print "Sample configuration file created."
147
148     cn = utils.subnetFromCert(cert_path)
149     subnet = utils.networkFromCa(ca_path) + utils.binFromSubnet(cn)
150     print "Your subnet: %s/%u (CN=%s)" \
151         % (utils.ipFromBin(subnet), len(subnet), cn)
152
153 if __name__ == "__main__":
154     main()