Remove unnecessary includes

Use separate CRL file for each test

To avoid conflicts when running in parallel

Add application/pkix-crl to known REST Content-Type values

%M is supposed to be microseconds, not milliseconds

Correct module name

Can't test rlm_crl if FreeRADIUS was built without SSL

Add basic tests of rlm_crl

Set allow_core_dumps to yes for developer builds

Required to allow debuggers to attach to processes.

Correct ZSCORE check after unassigning a static IP

Particularly when running under sanitizers, %l ends up in the past

Remove stray %

Allow reading binary data using rlm_exec

Update rlm_mruby docs from raddb

Fix RHEL packaging for rlm_mruby

Move sample Ruby to raddb so it gets packaged

Tidy sample Ruby

Update mruby sample config with notes on attribute access

Add tests of pair list access from mruby

Don't run instantiate module if it doesn't exist

Add `append` method to mruby Pair class

To add an instance of an attribute

Add `del` method to mruby Pair class

Remove redundant mruby add_vp_tuple

Only allow fixednum return now mruby can set pairs directly

Remove mruby pair list marshalling functions

Report what is being called

Use mruby PairList class for passing list roots to module method

Add `method_missing` method to mruby PairList class

To allow access to child attributes.

Add `set` method to mruby Pair class

To set pair values

Add `get` method to mruby Pair class

For getting the value of the pair.

Add `keys` method to mruby PairList

To fetch a list of child attributes

Add mruby Pair class

For leaf pairs

Define mruby PairList class and its initialize function

for holding structural pairs

Change default mruby module name to FreeRADIUS

Add Ptr class to use for passing C pointers

Define mruby_pair_t

For holding C data pointers associated with a pair in mruby objects

Define mruby data types and functions for accessing C data pointers

Move rlm_mruby_t definition to shared header

Pacify Coverity (CID #1648478)

It doesn't understand about required xlat args

Check box is allocated (CID #1648479)

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/bfd.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Add rlm_crl docs from sample config

Update docs from raddb changes

Document %ldap.uri.attr_option

Add tests of %ldap.uri.attr_option

Add %ldap.uri.attr_option

Pacify Coverity (CID #1648447)

Check return value (CID #1648446)

Check return code from base CRL lookup

rlm_crl requires OpenSSL to build

Add rlm_crl to RHEL packaging

Allow soft failure when ldap expansion is not configured

When a base CRL expires, expire the deltas

Since deltas are changes from a base, they need to be re-fetched when
the base changes

Limit extracted CDP to those covering all reasons

We want the full picture for doing CRL checks - so no need to handle
segmented CRLs.

RFC5280 page 47:

When a conforming CA includes a cRLDistributionPoints extension in a
certificate, it MUST include at least one DistributionPoint that points
to a CRL that covers the certificate for all reasons.

Add crlNumber to dummy CRL

Add notes on CDP with ldap:/// prefix

Check for delta CRL in crl_check_serial

And fetch the delta if we don't already have it.

Return found crl entry from crl_check_serial

So base CRL can be referenced when fetching a delta

Having retrieved a base CRL, check the delta if the CRL has it defined

Deltas can have more than one URI for HA.
If none of the delta CRLs are available then re-use the same mechanism
to fetch one.

Allow different forced expiry interval for delta CRLs

Typically delta CRLs are published more frequently than base ones, so
may require a shorter forced expiry interval.

Use reference to base_crl to indicate we're reading data from a delta

Correct comment

Add a status to rlm_crl_ctx_t to track which type of CRL is being handled

CRL reason "remove from CRL" is different from not found

It is an override that occurs in delta CRLs - whereas if a serial is not
found in a delta, the base should be checked.

Restructure processing of multiple CRL distrubution points

When a certificate lists multiple CRL distribution points (that cover
all revokation reasons) then they are different methods to retrieve the
same CRL.

If we have one CRL downloaded, then that can be used.

If none exist then try to retrieve from each of the distribution points
until one succeeds.

Fix comment

Add verification of CRL signatures

Allow per scheme expansions for CRL retrieval

Extract URIs from Freshest CRL extension

Which tells us that the CRL has delta updates

Extract and store CRL number

Needed to verify that delta CRLs are for the correct base

Add early_refresh option to rlm_crl

Time interval before nextUpdate at which the CRL will be renewed.

Add application/x-pkcs7-crl to known Content-Type values

Allows rlm_rest to download CRLs without spurious warnings

Use nextUpdate from CRL to set expiry timer

If it is less than the time which would result from `force_expiry`

Free crl when it's expired

crl->ev needs to hold the expiry timer event

Make sure errors are printed

Correct handling of X509_CRL_get0_by_serial

The docs misleadingly use the word "failure" for the return value 0.
What that means is failure to find the certificate, i.e. the certificate
is not in the CRL list - not a failure in the software.

Add conf parser to get force_expiry value

We remove the data from the tree, not its node member

Reference module instance in crl

Insert CRL into tree

Module instance data is const

Talloc the crl off the tree it will live in

Use pair_update_request so we only have one CRL.CDP-URL instance

crl option is required

Otherwise we don't know how to download CRLs

Correct autoload variable names

Fill out sample rlm_crl module config

Extract CRL distribution points from certificates

Set CALL_ENV_FLAG_ATTRIBUTE where we want attribute references

Populate rctx if it's missing

Instance mutable data needs NULL talloc ctx

And freeing in mod_detach

The default case statement meant we always returned... but I guess the compiler isn't smart enough to realise that.

Basic CRL module

Re-encode serial as DER