bin/cycle-root-key: New program to make a new root key.

I really should have done this earlier.

bin/setup, lib/func.tcl: Move root key generation into the library.

.gitignore: Mark directories clearly.

etc/config.tcl: Don't reissue long-term certificates daily.

We end up with a huuuge pile of unnecessary certificates.

test/unit: Add some tests to verify my ideas of how stuff works.

No bugs found, as expected.

test/unit: Use plain `tclsh' to run the code.

lib/func.tcl: Cope with a gratuitous OpenSSL output-format change.

bin/*: Use plain `/usr/bin/tclsh' in shebang lines.

etc/config.tcl: Copy the symlinks as well.

Cretin.

etc/config.tcl: New (better?) upload arrangements.

.gitignore: Ignore some infrastructure directories.

config.tcl: New profile for devices which can't accept certificate updates.

Merge branch 'master' of git://git.distorted.org.uk/~mdw/ca

* 'master' of git://git.distorted.org.uk/~mdw/ca:
  bin/withdraw: Lowercase `u' in `usage:', for consistency.
  bin/withdraw: Make sure the database is actually open.

bin/withdraw: Lowercase `u' in `usage:', for consistency.

bin/withdraw: Make sure the database is actually open.

Merge branch 'master' of git://git.distorted.org.uk/~mdw/ca

* 'master' of git://git.distorted.org.uk/~mdw/ca:
  lib/func.tcl: Stupid long-standing typo in `sync-profiles'.
  test/update: Run `bin/update' before adding requests.
  bin/add: Don't allow adding requests with defunct profiles.
  bin/update: Refresh the profiles in the database from the configuration.
  lib/func.tcl, test/unit: Fix spin in `next-matching-date' and test.
  test/{init->update}: Less mad name for this test.

lib/func.tcl: Stupid long-standing typo in `sync-profiles'.

test/update: Run `bin/update' before adding requests.

Adding a request exercises the update hook, which expects the CRL to
exist.  This makes sure it actually does.

bin/add: Don't allow adding requests with defunct profiles.

That's why we have the tombstoning.

bin/update: Refresh the profiles in the database from the configuration.

I must have always intended this, and just forgot.

lib/func.tcl, test/unit: Fix spin in `next-matching-date' and test.

Consider the pattern `*-*-* 10:20:30' applied to the reference date
`2012-12-06 10:21:42'.  The year, month and day are wildcards, so they're
fine.  The hour matches, so we recurse to the minutes.  That match fails,
so the recursive call returns `step'.  At this point, we consider the
hours again: we step `nn' on by one to perturb the matching process and
iterate, attempting to match the literal pattern `10'.  This will compare
the literal with the original unstepped reference value, which is still
`10', and drag `nn' back down.  The result is that we spin, making no
progress and using all available CPU.  Of course, the precise values aren't
important: the significant bit is a literal pattern matching the reference
time, followed by a mismatch which forces a step.

Also include a number of tests for this function, because it's the main
algorithmically fiddly piece of the system.

etc/config.tcl: Move the re-issue time back to midnight.

We must reissue certificates early, because hosts stagger their update
of the certificate store throughout the night.

etc/config.tcl: Fix the validity duration for certificates.

I misremembered that the durations are measured in hours, not days.
But actually 28 hours isn't enough, because hosts refresh their cache
of the certificate store at different times of night: we must have the
new certificates ready for the early risers, and the old ones must
still be valid until time that the late risers are done.

test/{init->update}: Less mad name for this test.

Merge branch 'master' of git://git.distorted.org.uk/~mdw/ca

* 'master' of git://git.distorted.org.uk/~mdw/ca:
  bin/add: Run the update hook after adding a certificate request.

bin/add: Run the update hook after adding a certificate request.

Merge branch 'master' of git://git.distorted.org.uk/~mdw/ca

* 'master' of git://git.distorted.org.uk/~mdw/ca:
  lib/func.tcl: Hack output of `openssl dgst -hex'.
  etc/openssl.conf: Allow `keyEncipherment' for TLS clients.

Configuration for production.

lib/func.tcl: Hack output of `openssl dgst -hex'.

Remove the gratuitous incompatibility from the front.

etc/openssl.conf: Allow `keyEncipherment' for TLS clients.

For some reason libvirt doesn't accept client certificates without this,
even though TLS client authentication doesn't involve encipherting keys.

bin/setup: Fix permissions on `ca.key' and `ca.cert'.

The previous thing was a mix of both, and didn't work properly.

.gitignore: Remove old things which aren't meant to exist any more.

Provides a useful clue to which things can be deleted.

Add an `update-hook' configuration tweak.

This is for publishing the archive to a web server or similar.

bin: Produce output PEM files with text descriptions of their contents.

This makes them easier to read.  There's a slight risk of someone being
confused by a malicious file whose text representation doesn't contain
an accurate description of the actual contents, but I think that's a
fairly minor consideration.  The files are also larger than they were
previously, but we'll have to put up with that.

test/init: Some more updates to check expiry and archiving.

Almost a complete rewrite.

The scripts are now written in Tcl, using Sqlite3 to store information
about the certificates.  There's a comprehensive library for hacking the
database, and fiddling with certificates.  There are even tests, which
seem to work properly.

bin/make-ca-key, lib/func.sh: Make user and group names configurable.

This makes testing in a sandpit much easier.

The defaults are good, so I've left the configuration file out of the
repository.

bin/make-ca-key, etc/issuer: Split the issuer name out.

Makes the configuration-file nature of the issuer name more apparent.

bin/clean: Simple new program to reset the directory to a clean state.

Minimal X.509 certificate authority.