File: //opt/saltstack/salt/lib/python3.10/site-packages/salt/modules/__pycache__/tls.cpython-310.pyc
o
�����N�gA��������������������
���@���s����d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l Z
d�d�l�Z
d�d�l�Z
d�d�l
m�Z���d�d�l�m�Z���d�Z�d�a�z�d�d�l�Z�d�Z�e�e�j���d�d ����Z�W�n ��e�yZ������Y�n�w�e���e���Z�d
Z�d�Z�d�d
��Z�d�d���Z�d�d���Z�d]d�d���Z d]d�d���Z!d�d���Z"d�d���Z#d�d���Z$d]d�d���Z%d^d�d ��Z&d_d!d"��Z'd_d#d$��Z(d]d%d&��Z)d`d'd(��Z* �dad*d+��Z+ �dad,d-��Z,d.d/��Z-d0d1��Z.d2d3��Z/dbd5d6��Z0d7d8��Z1 9 : ) ; < = > � � � � � ? � � �dcd@dA��Z2dBdC��Z3 9 ) ; < = > � � � � � � � ? � D �dddEdF��Z4 G 9 : ) ; < = > � � � � ? �dedHdI��Z5 : � � � � ? � � �dfdJdK��Z6dgdMdN��Z7dhdOdP��Z8 ?didQdR��Z9 � � � � � ?djdSdT��Z:e�dUk���rOe4dVdWd;d<dXd>d�dYdZ����e6dVdW����e7dVdWd[d\����d�S�d�S�)kaX���
A salt module for SSL/TLS. Can create a Certificate Authority (CA)
or use Self-Signed certificates.
:depends: PyOpenSSL Python module (0.10 or later, 0.14 or later for X509
extension support)
:configuration: Add the following values in /etc/salt/minion for the CA module
to function properly:
.. code-block:: yaml
ca.cert_base_path: '/etc/pki'
CLI Example #1:
Creating a CA, a server request and its signed certificate:
.. code-block:: bash
# salt-call tls.create_ca my_little \
days=5 \
CN='My Little CA' \
C=US \
ST=Utah \
L=Salt Lake City \
O=Saltstack \
emailAddress=pleasedontemail@example.com
Created Private Key: "/etc/pki/my_little/my_little_ca_cert.key"
Created CA "my_little_ca": "/etc/pki/my_little_ca/my_little_ca_cert.crt"
# salt-call tls.create_csr my_little CN=www.example.com
Created Private Key: "/etc/pki/my_little/certs/www.example.com.key
Created CSR for "www.example.com": "/etc/pki/my_little/certs/www.example.com.csr"
# salt-call tls.create_ca_signed_cert my_little CN=www.example.com
Created Certificate for "www.example.com": /etc/pki/my_little/certs/www.example.com.crt"
CLI Example #2:
Creating a client request and its signed certificate
.. code-block:: bash
# salt-call tls.create_csr my_little CN=DBReplica_No.1 cert_type=client
Created Private Key: "/etc/pki/my_little/certs//DBReplica_No.1.key"
Created CSR for "DBReplica_No.1": "/etc/pki/my_little/certs/DBReplica_No.1.csr"
# salt-call tls.create_ca_signed_cert my_little CN=DBReplica_No.1
Created Certificate for "DBReplica_No.1": "/etc/pki/my_little/certs/DBReplica_No.1.crt"
CLI Example #3:
Creating both a server and client req + cert for the same CN
.. code-block:: bash
# salt-call tls.create_csr my_little CN=MasterDBReplica_No.2 \
cert_type=client
Created Private Key: "/etc/pki/my_little/certs/MasterDBReplica_No.2.key"
Created CSR for "DBReplica_No.1": "/etc/pki/my_little/certs/MasterDBReplica_No.2.csr"
# salt-call tls.create_ca_signed_cert my_little CN=MasterDBReplica_No.2
Created Certificate for "DBReplica_No.1": "/etc/pki/my_little/certs/DBReplica_No.1.crt"
# salt-call tls.create_csr my_little CN=MasterDBReplica_No.2 \
cert_type=server
Certificate "MasterDBReplica_No.2" already exists
(doh!)
# salt-call tls.create_csr my_little CN=MasterDBReplica_No.2 \
cert_type=server type_ext=True
Created Private Key: "/etc/pki/my_little/certs/DBReplica_No.1_client.key"
Created CSR for "DBReplica_No.1": "/etc/pki/my_little/certs/DBReplica_No.1_client.csr"
# salt-call tls.create_ca_signed_cert my_little CN=MasterDBReplica_No.2
Certificate "MasterDBReplica_No.2" already exists
(DOH!)
# salt-call tls.create_ca_signed_cert my_little CN=MasterDBReplica_No.2 \
cert_type=server type_ext=True
Created Certificate for "MasterDBReplica_No.2": "/etc/pki/my_little/certs/MasterDBReplica_No.2_server.crt"
CLI Example #4:
Create a server req + cert with non-CN filename for the cert
.. code-block:: bash
# salt-call tls.create_csr my_little CN=www.anothersometh.ing \
cert_type=server type_ext=True
Created Private Key: "/etc/pki/my_little/certs/www.anothersometh.ing_server.key"
Created CSR for "DBReplica_No.1": "/etc/pki/my_little/certs/www.anothersometh.ing_server.csr"
# salt-call tls_create_ca_signed_cert my_little CN=www.anothersometh.ing \
cert_type=server cert_filename="something_completely_different"
Created Certificate for "www.anothersometh.ing": /etc/pki/my_little/certs/something_completely_different.crt
�����N)���datetime)���CommandExecutionError)���VersionFT��__version__z�0.0z
%y%m%d%H%M%SZ�
%Y%m%d%H%M%SZc��������������������C���sP���t�r$t�t�d���k�r$t�t�d���k�r�d�a�t���d�����d�S�t�t�d���k�r"t���d�����d�S�d�a�d�S�) z@
Only load this module if the ca config options are set
z�0.10z�0.14FzfYou should upgrade pyOpenSSL to at least 0.14.1 to enable the use of X509 extensions in the tls modulez�0.15zkYou should upgrade pyOpenSSL to at least 0.15.1 to enable the full use of X509 extensions in the tls moduleT)�FzQPyOpenSSL version 0.10 or later must be installed before this module can be used.)���HAS_SSL��OpenSSL_versionr������X509_EXT_ENABLED��log��debug��r����r�����D/opt/saltstack/salt/lib/python3.10/site-packages/salt/modules/tls.py��__virtual__����s��������������������������������r����c��������������������C���s(���t���t�������\�}�}�t�|���}�|�d���|�����S�)�zD
Return a Unix timestamp as a string of digits
:return:
��f)���math��modf��time��int)���val1Z�val2r����r����r
����
_microtime����s����������r����c��������������������C���s����t���|�t�d���|�����S�)�zt
Return the value corresponding to the key in __context__ or if not present,
fallback to config.option.
z
config.option)���__context__��get��__salt__)���keyr����r����r
�����_context_or_config����s������r����c��������������������C���s����|�p t�d���p t�d���S�)�z�
Return the base path for certs from CLI or from options
cacert_path
absolute path to ca certificates root directory
CLI Example:
.. code-block:: bash
salt '*' tls.cert_base_path
��ca.contextual_cert_base_pathz�ca.cert_base_path)�r��������cacert_pathr����r����r
�����cert_base_path����s
�������������r����c��������������������C���s����t�|���S�)�z!
Retrocompatible wrapper
)�r����r����r����r����r
�����_cert_base_path����s������r����c��������������������C���s����|�r�|�t�d�<�t���S�)�z�
If wanted, store the aforementioned cacert_path in context
to be used as the basepath for further operations
CLI Example:
.. code-block:: bash
salt '*' tls.set_ca_path /etc/certs
r����)�r����r����r����r����r����r
�����set_ca_path����s����������r ���c���������������� ���C���s����t�t���d���t�j�j���t�����t �
d���f�����d���}�t���d�|�����t
d���}�t���d�|�����|���d�|���d���}�t j���|���s9t ��|�����t j���|���sBd }�n�d
}�t�j�j���|�|�����}�|���t�|�������W�d���������|�S�1�s_w�������Y���|�S�)�z�
Return a serial number in hex using os.urandom() and a Unix timestamp
in microseconds.
ca_name
name of the CA
CN
common name in the request
�����_����������z�Hashnum: %s��cachedirz�cachedir: %s��/z�.serial��w��a+N)�r������binascii��hexlify��join��salt��utils��stringutils��to_bytesr������os��urandomr
���r����Z�__opts__��path��exists��makedirs��files��fopen��write��str)���ca_nameZ�hashnumr$���Z�serial_file��mode��ofiler����r����r
�����_new_serial����s2����
����������������������������
�����������
�������r;���c��������������������C���s
���|���t���S���N)���strftime��two_digit_year_fmt)�Z�datetimeObjr����r����r
�����_four_digit_year_to_two_digit ���s����
�r?���c��������������������C���s|���|�d�u�r�t�����d�|�����}�|���d���}�t�|���}�t�t�|�����}�t�|�����d���}�d�}�|�d���d�d���|���������D�����7�}�|�d�7�}�|�|�|�|�f�S�)�z6
Get basic info to write out to the index.txt
Nr%���z
/index.txt��Xc��������������������S���s����g�|�]�\�}�}�|���d�|�������q�S�)���=r����)���.0��x��yr����r����r
����
<listcomp>����s������z#_get_basic_info.<locals>.<listcomp>��
) r�����
_read_certr?�����_get_expiration_date��format��get_serial_numberr*�����get_subject��get_components)�r8�����cert��ca_dir�
index_file��expire_date�
serial_number��subjectr����r����r
�����_get_basic_info
���s��������
��������� �����rS�����Vc��������������������C���s����t�|�����t�����d�|�����}�t�|�|�|���\�}�}�}�}�d���|�|�|�|���} t�j�j���|�d�����}
|
��t�j�j �
| ������W�d���������d�S�1�s<w�������Y���d�S�)�z�
write out the index.txt database file in the appropriate directory to
track certificates
ca_name
name of the CA
cert
certificate to be recorded
r%���z�{} {} {} unknown {}r'���N)�r ���r����rS���rI���r+���r,���r4���r5���r6���r-�����to_str)�r8���rM���r������statusrN���rO���rP���rQ���rR���Z
index_datar:���r����r����r
�����_write_cert_to_database$���s�����
������������������"�rW���c��������������������C���s����t�|�����|�s�|���d���}�t�����d�|���d�|���d���}�t�����d�|���d�|���d���}�t�j�j���|�����}�t�j���t�j�j |��
����}�|�����d�k�r�t��
d�|�����t�j�j���|����\}�z�t�j���t�j�j |��
����}�|�����} W�n���t�yf������d�} Y�n�w�z�t���|�����d���t�������j�}
W�n
��t�t�f�y�������d }
Y�n�w�|�����}�t�|�| |
|�j�|�j�|�j�|�j�|�j�|�j�|�j d
d�����W�d���������n�1�s�w�������Y���W�d���������d�S�W�d���������d�S�W�d���������d�S�1�s�w�������Y���d�S�)
a����
Check that the X509 version is correct
(was incorrectly set in previous salt versions).
This will fix the version if needed.
ca_name
ca authority name
cacert_path
absolute path to ca certificates root directory
ca_filename
alternative filename for the CA
.. versionadded:: 2015.5.3
CLI Example:
.. code-block:: bash
salt '*' tls.maybe_fix_ssl_version test_ca /etc/certs
��_ca_certr%�����.crt��.key�����z2Regenerating wrong x509 version for certificate %s�����r�����m���T)
��bits��days��CN��C��ST��L��O��OU��emailAddress��fixmodeN)!r ���r����r+���r,���r4���r5�����OpenSSL��crypto��load_certificate��FILETYPE_PEM��readZ�get_versionr
�����info��load_privatekeyr^���� Exceptionr������strptime��get_notAfter��utcnowr_����
ValueError� TypeErrorrK���� create_car`���ra���rb���rc���rd���re���rf���)�r8���r������ca_filename��certp��ca_keyp��ficrM�����fic2r����r^���r_���Z�subjr����r����r
�����maybe_fix_ssl_version<���s^�������
���������������������������������������������������������������������������������������"�r{���c��������������������C���sP���t�|�����|�s�|���d���}�t�����d�|���d�|���d���}�t�j���|���r&t�|�|�|�d�����d�S�d�S�)�ak���
Verify whether a Certificate Authority (CA) already exists
ca_name
name of the CA
cacert_path
absolute path to ca certificates root directory
ca_filename
alternative filename for the CA
.. versionadded:: 2015.5.3
CLI Example:
.. code-block:: bash
salt '*' tls.ca_exists test_ca /etc/certs
rX���r%���rY�����r����rv���TF)�r ���r����r/���r1���r2���r{���)�r8���r����rv���rw���r����r����r
���� ca_existsz���s��������
�����������r}���c��������������������C���s
���t�|�|���S�)�z�Retrocompatible wrapper)�r}���)�r8���r����r����r����r
����
_ca_exists����s����
�r~���c��������������������C���sz���t�|�����d���t���|���}�t�j���|���s�t�d�|���������|�r;t�j�j �
|�����}�t�j�j���|��
����}�W�d���������|�S�1�s6w�������Y���|�S�)�a_���
Get the certificate path or content
ca_name
name of the CA
as_text
if true, return the certificate content instead of the path
cacert_path
absolute path to ca certificates root directory
CLI Example:
.. code-block:: bash
salt '*' tls.get_ca test_ca as_text=False cacert_path=/etc/certs
��{0}/{1}/{1}_ca_cert.crtz�Certificate does not exist for N)�r ���rI���r����r/���r1���r2���rs���r+���r,���r4���r5���r-����
to_unicoderl���)�r8�����as_textr����rw���ry���r����r����r
�����get_ca����s������������������
�������r����� localhostc��������������������C�������t�|�����|�s�|�}�t�����d�|���d�|���d���}�t�j���|���s!t�d�|���������|�rDt�j�j�� |�����}�t�j�j
��|�������}�W�d���������|�S�1�s?w�������Y���|�S�)�a:���
Get the certificate path or content
ca_name
name of the CA
CN
common name of the certificate
as_text
if true, return the certificate content instead of the path
cacert_path
absolute path to certificates root directory
cert_filename
alternative filename for the certificate, useful when using special characters in the CN
.. versionadded:: 2015.5.3
CLI Example:
.. code-block:: bash
salt '*' tls.get_ca_signed_cert test_ca CN=localhost as_text=False cacert_path=/etc/certs
r%�����/certs/rY���� Certificate does not exists for N�
r ���r����r/���r1���r2���rs���r+���r,���r4���r5���r-���r����rl���)�r8���r`���r����r�����
cert_filenamerw���ry���r����r����r
�����get_ca_signed_cert����s����������������������
�������r����c��������������������C���r����)�ai���
Get the certificate path or content
ca_name
name of the CA
CN
common name of the certificate
as_text
if true, return the certificate content instead of the path
cacert_path
absolute path to certificates root directory
key_filename
alternative filename for the key, useful when using special characters
.. versionadded:: 2015.5.3
in the CN
CLI Example:
.. code-block:: bash
salt '*' tls.get_ca_signed_key test_ca CN=localhost as_text=False cacert_path=/etc/certs
r%���r����rZ���r����Nr����)�r8���r`���r����r����Z�key_filenameZ�keypry���r����r����r
�����get_ca_signed_key����s����������������������
�������r����c��������������������C���s����t�|�t���r<z&t�j�j���|�����}�t�j���t�j�j |��
����W���d���������W�S�1�s$w�������Y���W�d�S���t�y;������t��
d�|�����Y�d�S�w�t�|�d���sIt���d�|�����d�S�|�S�)�Nz Failed to read cert from path %srq���z"%s is not a valid cert path/object)��
isinstancer7���r+���r,���r4���r5���rh���ri���rj���rk���rl���ro���r
���� exception��hasattr��error)�rM���Z�rfhr����r����r
���rG�������s����
�����������(���������
�������rG���c������������
���
���C���sF���t�j�����}�t�|���}�|�d�u�r�t�d�|���d�������t�����d�|�����}�t�|���d�|���d�����}�|���|�����t�j�j�}�|���|�j |�j
B�����|�d�u�rCt�j�����}�n"t�j
j���|�����} t�j���t�j�j�| ������}�W�d���������n�1�s`w�������Y���|���|�����t�j���|�|���}
i�}�z�|
������d�|�d�<�W�|�S���t�j�j�y���}���z�t�|���|�d�<�|�j�|�d <�d
|�d�<�W�Y�d�}�~�|�S�d�}�~�w�w�)�z�
.. versionadded:: 3000
Validate a certificate against a given CA/CRL.
cert
path to the certifiate PEM file or string
ca_name
name of the CA
crl_file
full path to the CRL file
N��Failed to read cert from ��, see log for detailsr%���z�_ca_cert.crtTZ�validr����Z
error_certF)�rh���ri���Z X509StorerG���r����r����Z�add_cert��X509StoreFlagsZ set_flagsZ CRL_CHECKZ
CRL_CHECK_ALL��CRLr+���r,���r4���r5���Z�load_crlrk���rl���Z�add_crlZ�X509StoreContextZ�verify_certificateZ�X509StoreContextErrorr7���Z�certificate)
rM���r8�����crl_file��store��cert_objrN�����ca_certr������crl��fhr��context��ret��er����r����r
�����validate����s<���
�������
�������
���������������
���������
�������
���������r����c��������������������C���s:���t�|���}�|�d�u�r�t�d�|���d�������t���t�j�j���|�������t ��S�)�z,
Returns a datetime.datetime object
Nr����r����)
rG���r����r����rp���r+���r,���r-���rU���rq�����four_digit_year_fmt)�rM���r����r����r����r
���rH���K���s����������
���������rH�����%Y-%m-%dc��������������������C���s����t�|�����|���S�)�a
���
.. versionadded:: 2019.2.0
Get a certificate's expiration date
cert
Full path to the certificate
date_format
By default this will return the expiration date in YYYY-MM-DD format,
use this to specify a different strftime format string. Note that the
expiration time will be in UTC.
CLI Examples:
.. code-block:: bash
salt '*' tls.get_expiration_date /path/to/foo.crt
salt '*' tls.get_expiration_date /path/to/foo.crt date_format='%d/%m/%Y'
)�rH���r=���)�rM���Z�date_formatr����r����r
�����get_expiration_date[���s������r����c��������������������C���s����d�}�t�d���}�|�d�u�r,t�|�t���s�|�s�d�d�d���}�n�t�|�t���r,|�|���d�k�r,d�d�d���}�t���d�����|�d�u�rSt�|�t���s>|�r<d�d�d���}�|�S�t�|�t���rS|�|���d�k�rSd�d�d���}�t���d�����|�S�)�Nz�cmd.retcodez�onlyif condition is falseT)���comment��resultr����z�unless condition is true)�r����r����r7���r
���r����)���onlyif��unlessr������retcoder����r����r
�����_check_onlyif_unlesss���s*���������
���
���
���
�
���
���
���
���
�
���r����r\���r]�����US��Utah��Salt Lake City� SaltStack��sha256c������������"�������C���s����t�|�|���}�|�d�u�r�d�S�t�|�����|�s�|���d���}�t�����d�|���d�|���d���}�t�����d�|���d�|���d���}�|�s>|
s>t�|�|�d���r>d�|���d���S�|
rMt�j���|���sMt�|���d ������t�j���t�����d�|�������sdt���t�����d�|���������d�}�t�j���|���r�t j
j���|����H}�z
t
j���t
j�j�|�������}�W�n2��t
j�j�y���}���z$t���d
|�|�����d���|�t�������d�����}�t���d
|�����t���|�|�����W�Y�d�}�~�n�d�}�~�w�w�W�d���������n�1�s�w�������Y���|�s�t
j�����}�|���t
j�j�|�����t
j�����}�|���d�����|�� t!|�������|�|��"��_#|�|��"��_$|�|��"��_%|�|��"��_&|�r�|�|��"��_'|�|��"��_(| ��r�| |��"��_)|��*d�����|��+t,|���d���d���d�������|��-|��"������|��.|�����t/��rV|��0t
j��1d�d�d���t
j��1d�d�d���t
j�j1d�d�d�|�d���g�����|��0t
j�j1d�d�d�|�d���g�����|��2|�t j
j3�4|
������t
j��5t
j�j�|���}�d�}�t�j���|�����r�d���|�t�������d�����}�t j
j���|����N}�t j
j3�6|��������7��}�|��7��|��7��k���r�d�}�n/t���d�|�����t��8|�t�j9t�j:B�d ��}�t j
j���|�d!���
}�|��;|�����W�d���������n 1���s�w�������Y���W�d���������n 1���s�w�������Y���|���r
t��8|�t�j9t�j:B�d ��}�t j
j���|�d"����}�|��;t j
j3�<|�������W�d���������n 1���s�w�������Y���t j
j���|�d"����} | �;t j
j3�<t
j��=t
j�j�|���������W�d���������n 1���s2w�������Y���t>|�|�����d#��t���|�|���}!|!d$��|�t���|���7�}!|!S�)%a}���
Create a Certificate Authority (CA)
ca_name
name of the CA
bits
number of RSA key bits, default is 2048
days
number of days the CA will be valid, default is 365
CN
common name in the request, default is "localhost"
C
country, default is "US"
ST
state, default is "Utah"
L
locality, default is "Centerville", the city where SaltStack originated
O
organization, default is "SaltStack"
OU
organizational unit, default is None
emailAddress
email address for the CA owner, default is None
cacert_path
absolute path to ca certificates root directory
ca_filename
alternative filename for the CA
.. versionadded:: 2015.5.3
digest
The message digest algorithm. Must be a string describing a digest
algorithm supported by OpenSSL (by EVP_get_digestbyname, specifically).
For example, "md5" or "sha1". Default: 'sha256'
replace
Replace this certificate even if it exists
.. versionadded:: 2015.5.1
Writes out a CA certificate based upon defined config values. If the file
already exists, the function just returns assuming the CA certificate
already exists.
If the following values were set::
ca.cert_base_path='/etc/pki'
ca_name='koji'
the resulting CA, and corresponding key, would be written in the following
location with appropriate permissions::
/etc/pki/koji/koji_ca_cert.crt
/etc/pki/koji/koji_ca_cert.key
CLI Example:
.. code-block:: bash
salt '*' tls.create_ca test_ca
NrX���r%���rY���rZ�����rv���z�Certificate for CA named "��" already existsz� does not exists, can't fixz?Error loading existing private key %s, generating a new key: %sz�{}.unloadable.{}z�%Y%m%d%H%M%Sz"Saving unloadable CA ssl key in %s�����r����������<���s����basicConstraintsTs����CA:TRUE, pathlen:0s����keyUsages����keyCertSign, cRLSigns����subjectKeyIdentifierFs����hash)�rR���s����authorityKeyIdentifiers����issuer:always,keyid:always)���issuerz�{}.{}z�Saving old CA ssl key in %s����r&�����wbz$Created Private Key: "{}/{}/{}.key" z#Created CA "{0}": "{1}/{0}/{2}.crt")?r����r ���r����r}���r/���r1���r2���rs���r3���r+���r,���r4���r5���rh���ri���rn���rk���rl�����Errorr
�����warningrI���r����rr���r=���rm�����rename��PKey��generate_key��TYPE_RSA��X509��set_version��set_serial_numberr;���rK���ra���rb���rc���rd���re���r`���rf�����gmtime_adj_notBefore��gmtime_adj_notAfterr�����
set_issuer�
set_pubkeyr �����add_extensions�
X509Extension��signr-���rU�����dump_privatekeyr������strip��open��O_CREAT��O_RDWRr6���r.�����dump_certificaterW���)"r8���r^���r_���r`���ra���rb���rc���rd���re���rf���rg���r����rv�����digestr����r������replacerV���rw���rx���r����rz�����errZ�bck��caZ
keycontentZ write_keyry���Z�old_key��fpZ�bckf��ca_keyZ�ca_crtr����r����r����r
���ru�������s����
O��������
���������������������������������������������������������������
���
�
���
�
�
�
���
�
���
�
�����
����������������������������������������������
������������������������������� ����������������������
���������������ru���c����������������
���C���s����t�s J�d���t�������i�}�|�d�k�r�t���d�����d�}�z�t�d���d�d���|�d�<�W�n���t�y8��}���z�t���|�����W�Y�d }�~�n�d }�~�w�w�|�d���rC|�d���d�k�rOd
d�i�d�d
d���d���|�d�<�z�t�d���d�d���|�d�<�W�n���t�yq��}���z�t���|�����W�Y�d }�~�n�d }�~�w�w�|�d���r||�d���d�k�r�d�d�d���i�d���|�d�<�z�t�d���d�d���|�d�<�W�n���t�y���}���z�t���|�����W�Y�d }�~�n�d }�~�w�w�|�d���r�|�d���d�k�r�d�d�d���i�d���|�d�<�|�|�v�r�z
t�d���d�|�������|�|�<�W�n���t�y���}���z
t���d�|�|�����W�Y�d }�~�n�d }�~�w�w�|�d���}�|�D�]
}�|�|�����|�|���|�������q�|�S�)�aO���
Fetch X509 and CSR extension definitions from tls:extensions:
(common|server|client) or set them to standard defaults.
.. versionadded:: 2015.8.0
cert_type:
The type of certificate such as ``server`` or ``client``.
CLI Example:
.. code-block:: bash
salt '*' tls.get_extensions client
zXX509 extensions are not supported in pyOpenSSL prior to version 0.15.1. Your version: {}��zKcert_type set to empty in tls_ca.get_extensions(); defaulting to ``server``��serverz
pillar.getz�tls.extensions:commonF��commonNZ�basicConstraintsz�CA:FALSEz�keyid,issuer:always��hash)�Z�authorityKeyIdentifierZ�subjectKeyIdentifier)���csrrM���z�tls.extensions:serverZ
serverAuthz!digitalSignature, keyEncipherment)�Z�extendedKeyUsageZ�keyUsagez�tls.extensions:client��clientZ
clientAuthz1nonRepudiation, digitalSignature, keyEnciphermentz�tls.extensions:zMpillar, tls:extensions:%s not available or not operating in a salt context
%s) r ���rI���r����r
���r����r����� NameErrorr������update)�� cert_type��extr����r������retvalZ�User����r����r
�����get_extensionsX���sz���������������������������������������������
�����������������������
�����������������������
�� ����������������������������r����r����c������������ �������C���s$���t�|
����|�s�|���d���}�t�|�|�d���s�d���|���S�|�s!t�����d�|���d���}�t�j���|���s,t���|�����|�r3d�|�����n�d�}�|
s=|���|�����}
|���d�|
��d���}�|�sSt�j���|���rSd |���d
��S�t�j �
��}�|���t�j j�|�����t�j �
��}�|�|�����_�|�|�����_�|�|�����_�|�|�����_�|�r�|�|�����_�|�|�����_�|�r�|�|�����_�z/t�|���d���}�g�}�|�����D�] \�}�}�t�|�t���r�t�j�j���|���}�|���t�j ��t�j�j���|���d�|�������q�W�n���t y���}���z
t!�"|�����g�}�W�Y�d
}�~�n�d
}�~�w�w�| r�t#r�t�| t���r�| g�} |���t�j ��d�d�d��$t�j�j%�&| ����������n�t'd���t(������t#��r�|��)|�����|��*|�����|��+|�t�j�j��,|�������|���d�|
��d���}�t��-|�t�j.t�j/B�d���}�t�j�j0�1|�d�����}�|��2t�j�j���t�j �3t�j j4|���������W�d
��������n 1���sLw�������Y���t�j�j0�1|�d�����}�|��2t�j�j���t�j �5t�j j4|���������W�d
��������n 1���svw�������Y���d�|���|
��d���}�|�d�|���d�|���|
��d���7�}�|�S�)�aI���
Create a Certificate Signing Request (CSR) for a
particular Certificate Authority (CA)
ca_name
name of the CA
bits
number of RSA key bits, default is 2048
CN
common name in the request, default is "localhost"
C
country, default is "US"
ST
state, default is "Utah"
L
locality, default is "Centerville", the city where SaltStack originated
O
organization, default is "SaltStack"
NOTE: Must the same as CA certificate or an error will be raised
OU
organizational unit, default is None
emailAddress
email address for the request, default is None
subjectAltName
valid subjectAltNames in full form, e.g. to add DNS entry you would call
this function with this value:
examples: ['DNS:somednsname.com',
'DNS:1.2.3.4',
'IP:1.2.3.4',
'IP:2001:4801:7821:77:be76:4eff:fe11:e51',
'email:me@i.like.pie.com']
.. note::
some libraries do not properly query IP: prefixes, instead looking
for the given req. source with a DNS: prefix. To be thorough, you
may want to include both DNS: and IP: entries if you are using
subjectAltNames for destinations for your TLS connections.
e.g.:
requests to https://1.2.3.4 will fail from python's
requests library w/out the second entry in the above list
.. versionadded:: 2015.8.0
cert_type
Specify the general certificate type. Can be either `server` or
`client`. Indicates the set of common extensions added to the CSR.
.. code-block:: cfg
server: {
'basicConstraints': 'CA:FALSE',
'extendedKeyUsage': 'serverAuth',
'keyUsage': 'digitalSignature, keyEncipherment'
}
client: {
'basicConstraints': 'CA:FALSE',
'extendedKeyUsage': 'clientAuth',
'keyUsage': 'nonRepudiation, digitalSignature, keyEncipherment'
}
type_ext
boolean. Whether or not to extend the filename with CN_[cert_type]
This can be useful if a server and client certificate are needed for
the same CN. Defaults to False to avoid introducing an unexpected file
naming pattern
The files normally named some_subject_CN.csr and some_subject_CN.key
will then be saved
replace
Replace this signing request even if it exists
.. versionadded:: 2015.5.1
Writes out a Certificate Signing Request (CSR) If the file already
exists, the function just returns assuming the CSR already exists.
If the following values were set::
ca.cert_base_path='/etc/pki'
ca_name='koji'
CN='test.egavas.org'
the resulting CSR, and corresponding key, would be written in the
following location with appropriate permissions::
/etc/pki/koji/certs/test.egavas.org.csr
/etc/pki/koji/certs/test.egavas.org.key
CLI Example:
.. code-block:: bash
salt '*' tls.create_csr test
rX���r����zECertificate for CA named "{}" does not exist, please create it first.r%���r������_r������.csrz�Certificate Request "r����r����FNs����subjectAltNames����, zysubjectAltName cannot be set as X509 extensions are not supported in pyOpenSSL prior to version 0.15.1. Your version: {}.rZ���r������wb+z�Created Private Key: "z�.key" z�Created CSR for "z�": "z�.csr")6r ���r}���rI���r����r/���r1���r2���r3���rh���ri���r����r����r����Z�X509ReqrK���ra���rb���rc���rd���re���r`���rf���r������itemsr����r7���r+���r,���r-���r.�����appendr������AssertionErrorr
���r����r ���r*�����data��encoders���r����r����r����r����rU���r����r����r����r4���r5���r6���r����rk���Z�dump_certificate_request) r8���r^���r`���ra���rb���rc���rd���re���rf�����subjectAltNamer����rv�����csr_path��csr_filenamer������type_extr����r������CN_extZ�csr_fr������req�
extensionsZ�extension_addsr������valuer����Z priv_keypr������priv_keyr����r����r����r����r
����
create_csr����s�����u��
���������������
�������������
���
�
�
�
�
���
�
���
���������
�����������������
�����������
���������������������������
�
���������������������������������������� ����r������tlsc���������������� ���C���sd���t�|
����t�j���t�����d�|���d�����s�t���t�����d�|���d�������|�s!|�}�|
s9t�j���t�����d�|���d�|���d�����r9d�|���d���S�t�j�����}�|�� t�j�j
|�����t�j�����}�|���d�����|��
d�����|���t�|���d���d ��d ������|�|�����_�|�|�����_�|�|�����_�|�|�����_�|�r}|�|�����_�|�|�����_�| r�| |�����_�|���t�|�������|���|���������|���|�����|���|�t�j�j�� |�������d
�!t���|�|���}�t��"|�t�j#t�j$B�d���}�t�j�j%�&|�d�����}�|��'t�j�j��(t�j��)t�j�j*|���������W�d
��������n�1�s�w�������Y���t�����d�|���d�|���d���}�t�j�j%�&|�d�����}�|��'t�j�j��(t�j��+t�j�j*|���������W�d
��������n 1���s�w�������Y���t,|�|�����d��!t���|�|���}�|�d��!t���|�|���7�}�|�S�)�a����
Create a Self-Signed Certificate (CERT)
tls_dir
location appended to the ca.cert_base_path, default is 'tls'
bits
number of RSA key bits, default is 2048
CN
common name in the request, default is "localhost"
C
country, default is "US"
ST
state, default is "Utah"
L
locality, default is "Centerville", the city where SaltStack originated
O
organization, default is "SaltStack"
NOTE: Must the same as CA certificate or an error will be raised
OU
organizational unit, default is None
emailAddress
email address for the request, default is None
cacert_path
absolute path to ca certificates root directory
digest
The message digest algorithm. Must be a string describing a digest
algorithm supported by OpenSSL (by EVP_get_digestbyname, specifically).
For example, "md5" or "sha1". Default: 'sha256'
replace
Replace this certificate even if it exists
.. versionadded:: 2015.5.1
Writes out a Self-Signed Certificate (CERT). If the file already
exists, the function just returns.
If the following values were set::
ca.cert_base_path='/etc/pki'
tls_dir='koji'
CN='test.egavas.org'
the resulting CERT, and corresponding key, would be written in the
following location with appropriate permissions::
/etc/pki/koji/certs/test.egavas.org.crt
/etc/pki/koji/certs/test.egavas.org.key
CLI Example:
.. code-block:: bash
salt '*' tls.create_self_signed_cert
Passing options from the command line:
.. code-block:: bash
salt 'minion' tls.create_self_signed_cert CN='test.mysite.org'
r%���r����rY����
Certificate "r����r����r����r����r����z�{}/{}/certs/{}.keyr����r����Nz*Created Private Key: "{}/{}/certs/{}.key" z)Created Certificate: "{}/{}/certs/{}.crt")-r ���r/���r1���r2���r����r3���rh���ri���r����r����r����r����r����r����r����r����rK���ra���rb���rc���rd���re���r`���rf���r����r;���r����r����r����r+���r,���r-���rU���rI���r����r����r����r4���r5���r6���r.���r����rk���r����rW���)�Z�tls_dirr^���r_���r`���ra���rb���rc���rd���re���rf���r����r����r����r����r����rM���Z
priv_key_pathr����r����Z�crt_path��crtr����r����r����r
�����create_self_signed_cert����sn����L��������
�������
���
�
�
���
�
�
�
���
�
���
�����
�����������������������������������������
���������������r����c��������������������C���s����i�}�t�|�����|�s
|���d���}�|�s�t�����d�|���d���}�| r+|�s#t���d�����|�S�|�r*d�|�����}�n�d�}�|���|�����}
|�s;|���|�����}�|
s[t�j���t�j���t�j�j���d�� t���|�|����
d���������r[d�|���d ��S�zat�|�|�|�d
����t�j
j���t�����d�|���d�|���d�������}�t�j���t�j�j�|�������}�W�d���������n�1�s�w�������Y���t�j
j���t�����d�|���d�|���d
������}�t�j���t�j�j�|�������}�W�d���������n�1�s�w�������Y���W�n���t�y�������d�|�d�<�d�|���d���|�d�<�|���Y�S�w�z,|���d�|
��d���}�t�j
j���|�����}�t�j���t�j�j�|�������}�W�d���������n�1�s�w�������Y���W�n���t���y�������d�|�d�<�d�� |���|�d�<�|���Y�S�w�g�}�z |���|���������W�nO��t���yr������z4t���d�t�����t�j�j���|�j ��}�t!t�j�j��"|�����D�]�}�t�j�j#�$t�j�j#��}�t�j�j��%|�|���|�_&|��'|�������qCW�n���t(��yo������t���d�t�����Y�n�w�Y�n�w�t�j��)��}�|��*d�����|��+|��,������|��-d�����|��.t/|���d���d���d�������|��0t1|�������|��2|��,������|��3|��4������|��5|�����|��6|�t�j
j7�8|�������|���d�|���d���}�t�j
j���|�d�����}�|��9t�j
j7�:t�j��;t�j�j�|���������W�d���������n 1���s�w�������Y���t<|�|�����d�� |�|�|���S�)�a�
��
Create a Certificate (CERT) signed by a named Certificate Authority (CA)
If the certificate file already exists, the function just returns assuming
the CERT already exists.
The CN *must* match an existing CSR generated by create_csr. If it
does not, this method does nothing.
ca_name
name of the CA
CN
common name matching the certificate signing request
days
number of days certificate is valid, default is 365 (1 year)
cacert_path
absolute path to ca certificates root directory
ca_filename
alternative filename for the CA
.. versionadded:: 2015.5.3
cert_path
full path to the certificates directory
cert_filename
alternative filename for the certificate, useful when using special
characters in the CN. If this option is set it will override
the certificate filename output effects of ``cert_type``.
``type_ext`` will be completely overridden.
.. versionadded:: 2015.5.3
digest
The message digest algorithm. Must be a string describing a digest
algorithm supported by OpenSSL (by EVP_get_digestbyname, specifically).
For example, "md5" or "sha1". Default: 'sha256'
replace
Replace this certificate even if it exists
.. versionadded:: 2015.5.1
cert_type
string. Either 'server' or 'client' (see create_csr() for details).
If create_csr(type_ext=True) this function **must** be called with the
same cert_type so it can find the CSR file.
.. note::
create_csr() defaults to cert_type='server'; therefore, if it was also
called with type_ext, cert_type becomes a required argument for
create_ca_signed_cert()
type_ext
bool. If set True, use ``cert_type`` as an extension to the CN when
formatting the filename.
e.g.: some_subject_CN_server.crt or some_subject_CN_client.crt
This facilitates the context where both types are required for the same
subject
If ``cert_filename`` is `not None`, setting ``type_ext`` has no
effect
If the following values were set:
.. code-block:: text
ca.cert_base_path='/etc/pki'
ca_name='koji'
CN='test.egavas.org'
the resulting signed certificate would be written in the following
location:
.. code-block:: text
/etc/pki/koji/certs/test.egavas.org.crt
CLI Example:
.. code-block:: bash
salt '*' tls.create_ca_signed_cert test localhost
rX���r%�����/certsz@type_ext = True but cert_type is unset. Certificate not written.r����r����z�{}/{}/certs/{}.crtr����r����r|���rY���NrZ��������r������There is no CA named "��"r����r����z(There is no CSR that matches the CN "{}"zzreq.get_extensions() not supported in pyOpenSSL versions prior to 0.15. Processing extensions internally. Your version: %sz|X509 extensions are unsupported in pyOpenSSL versions prior to 0.14. Upgrade required to use extensions. Current version: %sr����r����r����r����r����z)Created Certificate for "{}": "{}/{}.crt")=r ���r����r
���r����r/���r1���r2���r*�����seprI�����splitr{���r+���r,���r4���r5���rh���ri���rj���rk���rl���rn�����OSErrorZ�load_certificate_request��extendr������AttributeErrorrm���r����Z�_util��libZ�X509_REQ_get_extensionsZ�_req��rangeZ�sk_X509_EXTENSION_numr������__new__Z�sk_X509_EXTENSION_valueZ
_extensionr����ro���r����r����Z�set_subjectrK���r����r����r����r����r;���r����r����Z
get_pubkeyr����r����r-���rU���r6���r.���r����rW���)�r8���r`���r_���r����rv���� cert_pathr����r����r����r����r����r����r����r����r����r����r����r����r����Z�extsZ�native_exts_obj��ir����rM���Z�cert_full_pathr����r����r����r
�����create_ca_signed_cert*���s�����g����
�������������������
�����������
�������������������� ��������������������������������������������������������������������������������������������������������������������������������
�
���
���������
�������������������
�������r����r����c��������������������C���s����t�|�����|�s�t�j���t�����d�|���d�|���d�����r�d�|���d���S�z)t�j�j���d�� t���|�������}�t
j���t
j�j
|�������}�W�d���������n�1�s?w�������Y���W�n���t�yT������d�|���d ����Y�S�w�zZt�j�j���t�����d�|���d�|���d
������}�t
j���t
j�j
|�������}�W�d���������n�1�s}w�������Y���t�j�j���t�����d�|���d�|���d�������}�t
j���t
j�j
|�������}�W�d���������n�1�s�w�������Y���W�n���t�y�������d�|���d ����Y�S�w�t
j�����} | ��|�����| ��|�g�����| ��|�����t�j�j���t�����d�|���d�|���d���d
����}
|
��| j�t�j�j���|���d�������W�d���������n�1�s�w�������Y���d�� |�t���|���S�)�a'���
Create a PKCS#12 browser certificate for a particular Certificate (CN)
ca_name
name of the CA
CN
common name matching the certificate signing request
passphrase
used to unlock the PKCS#12 certificate when loaded into the browser
cacert_path
absolute path to ca certificates root directory
replace
Replace this certificate even if it exists
.. versionadded:: 2015.5.1
If the following values were set::
ca.cert_base_path='/etc/pki'
ca_name='koji'
CN='test.egavas.org'
the resulting signed certificate would be written in the
following location::
/etc/pki/koji/certs/test.egavas.org.p12
CLI Example:
.. code-block:: bash
salt '*' tls.create_pkcs12 test localhost
r%���r����z�.p12r����r����r���Nr����r����rY���rZ���z-There is no certificate that matches the CN "r�������
passphrasez>Created PKCS#12 Certificate for "{0}": "{1}/{2}/certs/{0}.p12")�r ���r/���r1���r2���r����r+���r,���r4���r5���rI���rh���ri���rj���rk���rl���r����rn���Z�PKCS12Z�set_certificateZ�set_ca_certificatesZ�set_privatekeyr6�����exportr-���r.���)�r8���r`���r����r����r����r����r����rM���r����Z�pkcs12r:���r����r����r
����
create_pkcs12����sl����"$�����������������������������������������������������������������������
�
���
���������������������������r����c��������������������C���s����d�}�d�|�v�r!t�j�j���|�����}�|�����}�W�d���������n�1�s�w�������Y���t�j���t�j�j�|���}�i�}�|�� ���
��D�] \�}�}�t�|�t���rBt�j�j
��|���}�t�|�t���rNt�j�j
��|���}�|�|�|�<�q2i�}�|������
��D�] \�}�}�t�|�t���rkt�j�j
��|���}�t�|�t���rwt�j�j
��|���}�|�|�|�<�q[t�j�j
��|���t�j�j
��|�������|�|�|�����t���t���t�|�������t�����|�����t���t���|�������t���|�����d���}�t�|�d���r�i�|�d�<�t�|�������D�]%} z�|���| ��}
t�j�j
��|
� ����}�t�|
���!��|�d���|�<�W�q���t"y�������Y�q�w�d�|��#d�i���v���r%d�}�t$��}�t�|�d���d������%d ��D�]"}
|
�%d
d���\�}�}
|�|�v���r�t&�'d�|�d
��|
d��(|�������q�|��)|
����q�t*|���|�d�<�t�|�d�����rOz�|��+��}�t�|�t�����r=t�j�j
��|���}�|�|�d�<�W�|�S���t"��yN������Y�|�S�w�|�S�)�a:���
Return information for a particular certificate
cert
path to the certifiate PEM file or string
.. versionchanged:: 2018.3.4
digest
what digest to use for fingerprinting
CLI Example:
.. code-block:: bash
salt '*' tls.cert_info /dir/for/certs/cert.pem
r����z
-----BEGINN)�Z�fingerprintrR���r����rQ���Z
not_beforeZ not_after��get_extension_countr����r����)���DNSz
IP Addressz�, ��:r����z6Cert %s has an entry (%s) which does not start with %srR���r%���Z�subject_alt_names��get_signature_algorithmZ�signature_algorithm),r+���r,���r4���r5���rl���rh���ri���rj���rk���Z
get_issuerrL���r������bytesr-���r����rK���r����rU���rJ�����calendar��timegmr����rp���r7���Z
get_notBefore��decodeZ�__salt_system_encoding__rq���r����r����r����Z
get_extensionZ�get_short_namer����r����r������setr����r
���r����r*�����add��listr����)�rM���r����Z�date_fmt� cert_filer����r����r����rR���r����r����r����Z
valid_entriesZ�valid_names��name��entryr����r����r
���� cert_infof���s����������
���������
���
���
�����
���
���
�����������������������������������
�������
���������������������
���������������������������
�������������r����c��������������������C���s����t�|�����|�s�|���d���}�|�s�t�����d�|���d���}�t�j���|�����r#d�|���d���S�zZt�j�j���t ����d�|���d�|���d�������}�t
j���t
j�j
|�������}�W�d���������n�1�sKw�������Y���t�j�j���t ����d�|���d�|���d�������}�t
j���t
j�j
|�������}�W�d���������n�1�sww�������Y���W�n���t�y�������d |���d
����Y�S�w�t
j�����}�|�j�|�|�t�j�j���|���d���} t�j�j���|�d�����}
|
��t�j�j���| ������W�d���������n�1�s�w�������Y���d
|���d
��S�)�a����
Create an empty Certificate Revocation List.
.. versionadded:: 2015.8.0
ca_name
name of the CA
cacert_path
absolute path to ca certificates root directory
ca_filename
alternative filename for the CA
.. versionadded:: 2015.5.3
crl_file
full path to the CRL file
digest
The message digest algorithm. Must be a string describing a digest
algorithm supported by OpenSSL (by EVP_get_digestbyname, specifically).
For example, "md5" or "sha1". Default: 'sha256'
CLI Example:
.. code-block:: bash
salt '*' tls.create_empty_crl ca_name='koji' ca_filename='ca' crl_file='/etc/openvpn/team1/crl.pem'
rX���r%�����/crl.pemz�CRL "r����rY���NrZ���r����r������r����r&���z�Created an empty CRL: ")�r ���r����r/���r1���r2���r+���r,���r4���r5���r����rh���ri���rj���rk���rl���rn���r����r����r����r-���r.���r6���rU���)�r8���r����rv���r����r������fp_r����r����r������crl_textr����r����r����r
�����create_empty_crl����sL����"��
���������������������������������������������������
�������������������r����c����������������
���C���s ���t�|�����t�����d�|�����}�|�d�u�r�|���d���}�|�d�u�r"t�����d�|���d���}�|�d�u�r)|���}�zZt�j�j���t�����d�|���d�|���d�������} t�j�� t�j�j
| ������}
W�d���������n�1�sQw�������Y���t�j�j���t�����d�|���d�|���d�������} t�j���t�j�j
| ������}�W�d���������n�1�s}w�������Y���W�n���t
y�������d�|���d�����Y�S�w�t�|���d�|���d�����}�|�d�u�r�d |���d���S�t�|�|�|���\�}
}�}�}�|���d
|�����}�d�|���d�|�����}�t���d
|���d���t���|�������}�d���|�t�t�������|���}�i�}�t�j�j���|
���k} | D�]`}�t�j�j���|���}�|���|�����r4|���d���d���}�z�t���|�t�����d���|�|�|���W�����W���d���������S���t���y3������d�|�d�<�d���|�t���|�d�<�|���Y�����W���d���������S�w�|�|�v���rEt�d���|
|�|�d�d�������n�q�W�d���������n 1���sQw�������Y���t�j�����}�t�j�j���|
���K} | D�]@}�t�j�j���|���}�|�� d�����r�|���d���}�t�j��!��}�|��"t�j�j��#|�d���������t���|�d���t���}�|��$t�j�j��#|��%t&��������|��'|�������qeW�d���������n 1���s�w�������Y���|�j(|
|�t�j�j��#|���d���}�|�d�u���r�t�����d�|���d���}�t)j*�+|�����r�d�|�d�<�d�|���d���|�d�<�|�S�t�j�j���|�d ����} | �,t�j�j��-|�������W�d���������n 1���s�w�������Y���d!��|�|�|���S�)"a����
Revoke a certificate.
.. versionadded:: 2015.8.0
ca_name
Name of the CA.
CN
Common name matching the certificate signing request.
cacert_path
Absolute path to ca certificates root directory.
ca_filename
Alternative filename for the CA.
cert_path
Path to the cert file.
cert_filename
Alternative filename for the certificate, useful when using special
characters in the CN.
crl_file
Full path to the CRL file.
digest
The message digest algorithm. Must be a string describing a digest
algorithm supported by OpenSSL (by EVP_get_digestbyname, specifically).
For example, "md5" or "sha1". Default: 'sha256'
CLI Example:
.. code-block:: bash
salt '*' tls.revoke_cert ca_name='koji' ca_filename='ca' crl_file='/etc/openvpn/team1/crl.pem'
r%���NrX���r����rY���rZ���r����r����z&There is no client certificate named "z unknown z�V z� z�R\tz�\t\d{12}Z\tz
R {} {} {}�� r����z2"{}/{}.crt" was already revoked, serial number: {}r����r����z.Revocation date '{}' does not matchformat '{}'r����z�file.replaceF)�Z�backup��Rr[���r����r����z
crl_file "z�" is an existing directoryr&���z3Revoked Certificate: "{}/{}.crt", serial number: {}).r ���r����r����r+���r,���r4���r5���rh���ri���rj���rk���rl���rn���r����rG���rS�����re��compile��escaperI���r?���r����rr���r-���r������matchr����rp���r>���rs���r����r�����
startswithZ�RevokedZ
set_serialr.���Z�set_rev_dater=���r����Z�add_revokedr����r/���r1�����isdirr6���rU���)�r8���r`���r����rv���r����r����r����r����rN���r����r����r����Z�client_certrO���rP���rQ���rR���Z�index_serial_subjectZ�index_v_dataZ�index_r_data_patternZ�index_r_datar������lineZ�revoke_dater������fieldsZ�revokedZ�revoke_date_2_digitr����r����r����r
�����revoke_cert����s�����4����
�����������������������������������������������������������������������������
������������������������������
����������
����
���������������
���������
�
���������������
�������������
�����������������������r"�����__main__Z�kojiZ�test_systemZ�Centervillez�test_system@saltproject.io)�r`���ra���rb���rc���rd���re���rf�����testr����r<���)�NrT���)�NN)�FN)�r����FNN)�r����)�r\���r]���r����r����r����r����r����NNFNNr����NNF)�r\���r����r����r����r����r����NNNNNNNr����Fr����F)�r����r\���r]���r����r����r����r����r����NNNNr����F) r]���NNNNr����NFF)�r����NF)�r����)�NNNr����)�NNNNNr����);��__doc__r(���r �����loggingr����r/���r����r����r����Z�salt.utils.datar+���Z�salt.utils.filesZ�salt.utils.stringutilsZ�salt.exceptionsr����Z�salt.utils.versionsr����r����r ���rh�����__dict__r����r������ImportError� getLogger��__name__r
���r>���r����r����r����r����r����r����r ���r;���r?���rS���rW���r{���r}���r~���r����r����r����rG���r����rH���r����r����ru���r����r����r����r����r����r����r����r"���r����r����r����r
�����<module>����s�������d������������������������������������������
����������
�
������'
�
�
�
>
�
���
��(
��,���.
�����������������������������������
���P�`��������������������������������
���d��������������������������
��������������������
��
i
T�g
��M����������
��
"��������������������
����