Code health: Remove obvious VAX C fixups
[openssl.git] / apps / ca.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* The PPKI stuff has been donated by Jeff Barber <jeffb@issl.atl.hp.com> */
11
12 #include <stdio.h>
13 #include <stdlib.h>
14 #include <string.h>
15 #include <ctype.h>
16 #include <sys/types.h>
17 #include <openssl/conf.h>
18 #include <openssl/bio.h>
19 #include <openssl/err.h>
20 #include <openssl/bn.h>
21 #include <openssl/txt_db.h>
22 #include <openssl/evp.h>
23 #include <openssl/x509.h>
24 #include <openssl/x509v3.h>
25 #include <openssl/objects.h>
26 #include <openssl/ocsp.h>
27 #include <openssl/pem.h>
28
29 #ifndef W_OK
30 # ifdef OPENSSL_SYS_VMS
31 #  include <unistd.h>
32 # elif !defined(OPENSSL_SYS_VXWORKS) && !defined(OPENSSL_SYS_WINDOWS)
33 #  include <sys/file.h>
34 # endif
35 #endif
36
37 #include "apps.h"
38
39 #ifndef W_OK
40 # define F_OK 0
41 # define X_OK 1
42 # define W_OK 2
43 # define R_OK 4
44 #endif
45
46 #ifndef PATH_MAX
47 # define PATH_MAX 4096
48 #endif
49 #ifndef NAME_MAX
50 # define NAME_MAX 255
51 #endif
52
53 #define CERT_MAX (PATH_MAX + NAME_MAX)
54
55 #define BASE_SECTION            "ca"
56
57 #define ENV_DEFAULT_CA          "default_ca"
58
59 #define STRING_MASK             "string_mask"
60 #define UTF8_IN                 "utf8"
61
62 #define ENV_NEW_CERTS_DIR       "new_certs_dir"
63 #define ENV_CERTIFICATE         "certificate"
64 #define ENV_SERIAL              "serial"
65 #define ENV_CRLNUMBER           "crlnumber"
66 #define ENV_PRIVATE_KEY         "private_key"
67 #define ENV_DEFAULT_DAYS        "default_days"
68 #define ENV_DEFAULT_STARTDATE   "default_startdate"
69 #define ENV_DEFAULT_ENDDATE     "default_enddate"
70 #define ENV_DEFAULT_CRL_DAYS    "default_crl_days"
71 #define ENV_DEFAULT_CRL_HOURS   "default_crl_hours"
72 #define ENV_DEFAULT_MD          "default_md"
73 #define ENV_DEFAULT_EMAIL_DN    "email_in_dn"
74 #define ENV_PRESERVE            "preserve"
75 #define ENV_POLICY              "policy"
76 #define ENV_EXTENSIONS          "x509_extensions"
77 #define ENV_CRLEXT              "crl_extensions"
78 #define ENV_MSIE_HACK           "msie_hack"
79 #define ENV_NAMEOPT             "name_opt"
80 #define ENV_CERTOPT             "cert_opt"
81 #define ENV_EXTCOPY             "copy_extensions"
82 #define ENV_UNIQUE_SUBJECT      "unique_subject"
83
84 #define ENV_DATABASE            "database"
85
86 /* Additional revocation information types */
87 typedef enum {
88     REV_VALID             = -1, /* Valid (not-revoked) status */
89     REV_NONE              = 0, /* No additional information */
90     REV_CRL_REASON        = 1, /* Value is CRL reason code */
91     REV_HOLD              = 2, /* Value is hold instruction */
92     REV_KEY_COMPROMISE    = 3, /* Value is cert key compromise time */
93     REV_CA_COMPROMISE     = 4  /* Value is CA key compromise time */
94 } REVINFO_TYPE;
95
96 static char *lookup_conf(const CONF *conf, const char *group, const char *tag);
97
98 static int certify(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
99                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
100                    STACK_OF(CONF_VALUE) *policy, CA_DB *db,
101                    BIGNUM *serial, const char *subj, unsigned long chtype,
102                    int multirdn, int email_dn, const char *startdate,
103                    const char *enddate,
104                    long days, int batch, const char *ext_sect, CONF *conf,
105                    int verbose, unsigned long certopt, unsigned long nameopt,
106                    int default_op, int ext_copy, int selfsign);
107 static int certify_cert(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
108                         const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
109                         STACK_OF(CONF_VALUE) *policy, CA_DB *db,
110                         BIGNUM *serial, const char *subj, unsigned long chtype,
111                         int multirdn, int email_dn, const char *startdate,
112                         const char *enddate, long days, int batch, const char *ext_sect,
113                         CONF *conf, int verbose, unsigned long certopt,
114                         unsigned long nameopt, int default_op, int ext_copy);
115 static int certify_spkac(X509 **xret, const char *infile, EVP_PKEY *pkey,
116                          X509 *x509, const EVP_MD *dgst,
117                          STACK_OF(OPENSSL_STRING) *sigopts,
118                          STACK_OF(CONF_VALUE) *policy, CA_DB *db,
119                          BIGNUM *serial, const char *subj, unsigned long chtype,
120                          int multirdn, int email_dn, const char *startdate,
121                          const char *enddate, long days, const char *ext_sect, CONF *conf,
122                          int verbose, unsigned long certopt,
123                          unsigned long nameopt, int default_op, int ext_copy);
124 static int do_body(X509 **xret, EVP_PKEY *pkey, X509 *x509,
125                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
126                    STACK_OF(CONF_VALUE) *policy, CA_DB *db, BIGNUM *serial,
127                    const char *subj, unsigned long chtype, int multirdn,
128                    int email_dn, const char *startdate, const char *enddate, long days,
129                    int batch, int verbose, X509_REQ *req, const char *ext_sect,
130                    CONF *conf, unsigned long certopt, unsigned long nameopt,
131                    int default_op, int ext_copy, int selfsign);
132 static int get_certificate_status(const char *ser_status, CA_DB *db);
133 static int do_updatedb(CA_DB *db);
134 static int check_time_format(const char *str);
135 static int do_revoke(X509 *x509, CA_DB *db, REVINFO_TYPE rev_type,
136                      const char *extval);
137 static char *make_revocation_str(REVINFO_TYPE rev_type, const char *rev_arg);
138 static int make_revoked(X509_REVOKED *rev, const char *str);
139 static int old_entry_print(const ASN1_OBJECT *obj, const ASN1_STRING *str);
140 static void write_new_certificate(BIO *bp, X509 *x, int output_der, int notext);
141
142 static CONF *extconf = NULL;
143 static int preserve = 0;
144 static int msie_hack = 0;
145
146 typedef enum OPTION_choice {
147     OPT_ERR = -1, OPT_EOF = 0, OPT_HELP,
148     OPT_ENGINE, OPT_VERBOSE, OPT_CONFIG, OPT_NAME, OPT_SUBJ, OPT_UTF8,
149     OPT_CREATE_SERIAL, OPT_MULTIVALUE_RDN, OPT_STARTDATE, OPT_ENDDATE,
150     OPT_DAYS, OPT_MD, OPT_POLICY, OPT_KEYFILE, OPT_KEYFORM, OPT_PASSIN,
151     OPT_KEY, OPT_CERT, OPT_SELFSIGN, OPT_IN, OPT_OUT, OPT_OUTDIR,
152     OPT_SIGOPT, OPT_NOTEXT, OPT_BATCH, OPT_PRESERVEDN, OPT_NOEMAILDN,
153     OPT_GENCRL, OPT_MSIE_HACK, OPT_CRLDAYS, OPT_CRLHOURS, OPT_CRLSEC,
154     OPT_INFILES, OPT_SS_CERT, OPT_SPKAC, OPT_REVOKE, OPT_VALID,
155     OPT_EXTENSIONS, OPT_EXTFILE, OPT_STATUS, OPT_UPDATEDB, OPT_CRLEXTS,
156     /* Do not change the order here; see related case statements below */
157     OPT_CRL_REASON, OPT_CRL_HOLD, OPT_CRL_COMPROMISE, OPT_CRL_CA_COMPROMISE
158 } OPTION_CHOICE;
159
160 const OPTIONS ca_options[] = {
161     {"help", OPT_HELP, '-', "Display this summary"},
162     {"verbose", OPT_VERBOSE, '-', "Verbose output during processing"},
163     {"config", OPT_CONFIG, 's', "A config file"},
164     {"name", OPT_NAME, 's', "The particular CA definition to use"},
165     {"subj", OPT_SUBJ, 's', "Use arg instead of request's subject"},
166     {"utf8", OPT_UTF8, '-', "Input characters are UTF8 (default ASCII)"},
167     {"create_serial", OPT_CREATE_SERIAL, '-',
168      "If reading serial fails, create a new random serial"},
169     {"multivalue-rdn", OPT_MULTIVALUE_RDN, '-',
170      "Enable support for multivalued RDNs"},
171     {"startdate", OPT_STARTDATE, 's', "Cert notBefore, YYMMDDHHMMSSZ"},
172     {"enddate", OPT_ENDDATE, 's',
173      "YYMMDDHHMMSSZ cert notAfter (overrides -days)"},
174     {"days", OPT_DAYS, 'p', "Number of days to certify the cert for"},
175     {"md", OPT_MD, 's', "md to use; one of md2, md5, sha or sha1"},
176     {"policy", OPT_POLICY, 's', "The CA 'policy' to support"},
177     {"keyfile", OPT_KEYFILE, 's', "Private key"},
178     {"keyform", OPT_KEYFORM, 'f', "Private key file format (PEM or ENGINE)"},
179     {"passin", OPT_PASSIN, 's', "Input file pass phrase source"},
180     {"key", OPT_KEY, 's', "Key to decode the private key if it is encrypted"},
181     {"cert", OPT_CERT, '<', "The CA cert"},
182     {"selfsign", OPT_SELFSIGN, '-',
183      "Sign a cert with the key associated with it"},
184     {"in", OPT_IN, '<', "The input PEM encoded cert request(s)"},
185     {"out", OPT_OUT, '>', "Where to put the output file(s)"},
186     {"outdir", OPT_OUTDIR, '/', "Where to put output cert"},
187     {"sigopt", OPT_SIGOPT, 's', "Signature parameter in n:v form"},
188     {"notext", OPT_NOTEXT, '-', "Do not print the generated certificate"},
189     {"batch", OPT_BATCH, '-', "Don't ask questions"},
190     {"preserveDN", OPT_PRESERVEDN, '-', "Don't re-order the DN"},
191     {"noemailDN", OPT_NOEMAILDN, '-', "Don't add the EMAIL field to the DN"},
192     {"gencrl", OPT_GENCRL, '-', "Generate a new CRL"},
193     {"msie_hack", OPT_MSIE_HACK, '-',
194      "msie modifications to handle all those universal strings"},
195     {"crldays", OPT_CRLDAYS, 'p', "Days until the next CRL is due"},
196     {"crlhours", OPT_CRLHOURS, 'p', "Hours until the next CRL is due"},
197     {"crlsec", OPT_CRLSEC, 'p', "Seconds until the next CRL is due"},
198     {"infiles", OPT_INFILES, '-', "The last argument, requests to process"},
199     {"ss_cert", OPT_SS_CERT, '<', "File contains a self signed cert to sign"},
200     {"spkac", OPT_SPKAC, '<',
201      "File contains DN and signed public key and challenge"},
202     {"revoke", OPT_REVOKE, '<', "Revoke a cert (given in file)"},
203     {"valid", OPT_VALID, 's',
204      "Add a Valid(not-revoked) DB entry about a cert (given in file)"},
205     {"extensions", OPT_EXTENSIONS, 's',
206      "Extension section (override value in config file)"},
207     {"extfile", OPT_EXTFILE, '<',
208      "Configuration file with X509v3 extensions to add"},
209     {"status", OPT_STATUS, 's', "Shows cert status given the serial number"},
210     {"updatedb", OPT_UPDATEDB, '-', "Updates db for expired cert"},
211     {"crlexts", OPT_CRLEXTS, 's',
212      "CRL extension section (override value in config file)"},
213     {"crl_reason", OPT_CRL_REASON, 's', "revocation reason"},
214     {"crl_hold", OPT_CRL_HOLD, 's',
215      "the hold instruction, an OID. Sets revocation reason to certificateHold"},
216     {"crl_compromise", OPT_CRL_COMPROMISE, 's',
217      "sets compromise time to val and the revocation reason to keyCompromise"},
218     {"crl_CA_compromise", OPT_CRL_CA_COMPROMISE, 's',
219      "sets compromise time to val and the revocation reason to CACompromise"},
220 #ifndef OPENSSL_NO_ENGINE
221     {"engine", OPT_ENGINE, 's', "Use engine, possibly a hardware device"},
222 #endif
223     {NULL}
224 };
225
226 int ca_main(int argc, char **argv)
227 {
228     CONF *conf = NULL;
229     ENGINE *e = NULL;
230     BIGNUM *crlnumber = NULL, *serial = NULL;
231     EVP_PKEY *pkey = NULL;
232     BIO *in = NULL, *out = NULL, *Sout = NULL;
233     ASN1_INTEGER *tmpser;
234     ASN1_TIME *tmptm;
235     CA_DB *db = NULL;
236     DB_ATTR db_attr;
237     STACK_OF(CONF_VALUE) *attribs = NULL;
238     STACK_OF(OPENSSL_STRING) *sigopts = NULL;
239     STACK_OF(X509) *cert_sk = NULL;
240     X509_CRL *crl = NULL;
241     const EVP_MD *dgst = NULL;
242     char *configfile = default_config_file, *section = NULL;
243     char *md = NULL, *policy = NULL, *keyfile = NULL;
244     char *certfile = NULL, *crl_ext = NULL, *crlnumberfile = NULL, *key = NULL;
245     const char *infile = NULL, *spkac_file = NULL, *ss_cert_file = NULL;
246     const char *extensions = NULL, *extfile = NULL, *passinarg = NULL;
247     char *outdir = NULL, *outfile = NULL, *rev_arg = NULL, *ser_status = NULL;
248     const char *serialfile = NULL, *subj = NULL;
249     char *prog, *startdate = NULL, *enddate = NULL;
250     char *dbfile = NULL, *f, *randfile = NULL;
251     char new_cert[CERT_MAX + 1];
252     char tmp[10 + 1] = "\0";
253     char *const *pp;
254     const char *p;
255     int create_ser = 0, free_key = 0, total = 0, total_done = 0;
256     int batch = 0, default_op = 1, doupdatedb = 0, ext_copy = EXT_COPY_NONE;
257     int keyformat = FORMAT_PEM, multirdn = 0, notext = 0, output_der = 0;
258     int ret = 1, email_dn = 1, req = 0, verbose = 0, gencrl = 0, dorevoke = 0;
259     int i, j, selfsign = 0;
260     long crldays = 0, crlhours = 0, crlsec = 0, days = 0;
261     unsigned long chtype = MBSTRING_ASC, nameopt = 0, certopt = 0;
262     X509 *x509 = NULL, *x509p = NULL, *x = NULL;
263     REVINFO_TYPE rev_type = REV_NONE;
264     X509_REVOKED *r = NULL;
265     OPTION_CHOICE o;
266
267     new_cert[CERT_MAX] = '\0';
268
269     prog = opt_init(argc, argv, ca_options);
270     while ((o = opt_next()) != OPT_EOF) {
271         switch (o) {
272         case OPT_EOF:
273         case OPT_ERR:
274 opthelp:
275             BIO_printf(bio_err, "%s: Use -help for summary.\n", prog);
276             goto end;
277         case OPT_HELP:
278             opt_help(ca_options);
279             ret = 0;
280             goto end;
281         case OPT_IN:
282             req = 1;
283             infile = opt_arg();
284             break;
285         case OPT_OUT:
286             outfile = opt_arg();
287             break;
288         case OPT_VERBOSE:
289             verbose = 1;
290             break;
291         case OPT_CONFIG:
292             configfile = opt_arg();
293             break;
294         case OPT_NAME:
295             section = opt_arg();
296             break;
297         case OPT_SUBJ:
298             subj = opt_arg();
299             /* preserve=1; */
300             break;
301         case OPT_UTF8:
302             chtype = MBSTRING_UTF8;
303             break;
304         case OPT_CREATE_SERIAL:
305             create_ser = 1;
306             break;
307         case OPT_MULTIVALUE_RDN:
308             multirdn = 1;
309             break;
310         case OPT_STARTDATE:
311             startdate = opt_arg();
312             break;
313         case OPT_ENDDATE:
314             enddate = opt_arg();
315             break;
316         case OPT_DAYS:
317             days = atoi(opt_arg());
318             break;
319         case OPT_MD:
320             md = opt_arg();
321             break;
322         case OPT_POLICY:
323             policy = opt_arg();
324             break;
325         case OPT_KEYFILE:
326             keyfile = opt_arg();
327             break;
328         case OPT_KEYFORM:
329             if (!opt_format(opt_arg(), OPT_FMT_ANY, &keyformat))
330                 goto opthelp;
331             break;
332         case OPT_PASSIN:
333             passinarg = opt_arg();
334             break;
335         case OPT_KEY:
336             key = opt_arg();
337             break;
338         case OPT_CERT:
339             certfile = opt_arg();
340             break;
341         case OPT_SELFSIGN:
342             selfsign = 1;
343             break;
344         case OPT_OUTDIR:
345             outdir = opt_arg();
346             break;
347         case OPT_SIGOPT:
348             if (sigopts == NULL)
349                 sigopts = sk_OPENSSL_STRING_new_null();
350             if (sigopts == NULL
351                 || !sk_OPENSSL_STRING_push(sigopts, opt_arg()))
352                 goto end;
353             break;
354         case OPT_NOTEXT:
355             notext = 1;
356             break;
357         case OPT_BATCH:
358             batch = 1;
359             break;
360         case OPT_PRESERVEDN:
361             preserve = 1;
362             break;
363         case OPT_NOEMAILDN:
364             email_dn = 0;
365             break;
366         case OPT_GENCRL:
367             gencrl = 1;
368             break;
369         case OPT_MSIE_HACK:
370             msie_hack = 1;
371             break;
372         case OPT_CRLDAYS:
373             crldays = atol(opt_arg());
374             break;
375         case OPT_CRLHOURS:
376             crlhours = atol(opt_arg());
377             break;
378         case OPT_CRLSEC:
379             crlsec = atol(opt_arg());
380             break;
381         case OPT_INFILES:
382             req = 1;
383             goto end_of_options;
384         case OPT_SS_CERT:
385             ss_cert_file = opt_arg();
386             req = 1;
387             break;
388         case OPT_SPKAC:
389             spkac_file = opt_arg();
390             req = 1;
391             break;
392         case OPT_REVOKE:
393             infile = opt_arg();
394             dorevoke = 1;
395             break;
396         case OPT_VALID:
397             infile = opt_arg();
398             dorevoke = 2;
399             break;
400         case OPT_EXTENSIONS:
401             extensions = opt_arg();
402             break;
403         case OPT_EXTFILE:
404             extfile = opt_arg();
405             break;
406         case OPT_STATUS:
407             ser_status = opt_arg();
408             break;
409         case OPT_UPDATEDB:
410             doupdatedb = 1;
411             break;
412         case OPT_CRLEXTS:
413             crl_ext = opt_arg();
414             break;
415         case OPT_CRL_REASON:        /* := REV_CRL_REASON */
416         case OPT_CRL_HOLD:
417         case OPT_CRL_COMPROMISE:
418         case OPT_CRL_CA_COMPROMISE:
419             rev_arg = opt_arg();
420             rev_type = (o - OPT_CRL_REASON) + REV_CRL_REASON;
421             break;
422         case OPT_ENGINE:
423             e = setup_engine(opt_arg(), 0);
424             break;
425         }
426     }
427 end_of_options:
428     argc = opt_num_rest();
429     argv = opt_rest();
430
431     BIO_printf(bio_err, "Using configuration from %s\n", configfile);
432
433     if ((conf = app_load_config(configfile)) == NULL)
434         goto end;
435     if (configfile != default_config_file && !app_load_modules(conf))
436         goto end;
437
438     /* Lets get the config section we are using */
439     if (section == NULL
440         && (section = lookup_conf(conf, BASE_SECTION, ENV_DEFAULT_CA)) == NULL)
441         goto end;
442
443     if (conf != NULL) {
444         p = NCONF_get_string(conf, NULL, "oid_file");
445         if (p == NULL)
446             ERR_clear_error();
447         if (p != NULL) {
448             BIO *oid_bio;
449
450             oid_bio = BIO_new_file(p, "r");
451             if (oid_bio == NULL) {
452                 /*-
453                 BIO_printf(bio_err,"problems opening %s for extra oid's\n",p);
454                 ERR_print_errors(bio_err);
455                 */
456                 ERR_clear_error();
457             } else {
458                 OBJ_create_objects(oid_bio);
459                 BIO_free(oid_bio);
460             }
461         }
462         if (!add_oid_section(conf)) {
463             ERR_print_errors(bio_err);
464             goto end;
465         }
466     }
467
468     randfile = NCONF_get_string(conf, BASE_SECTION, "RANDFILE");
469     if (randfile == NULL)
470         ERR_clear_error();
471     app_RAND_load_file(randfile, 0);
472
473     f = NCONF_get_string(conf, section, STRING_MASK);
474     if (!f)
475         ERR_clear_error();
476
477     if (f && !ASN1_STRING_set_default_mask_asc(f)) {
478         BIO_printf(bio_err, "Invalid global string mask setting %s\n", f);
479         goto end;
480     }
481
482     if (chtype != MBSTRING_UTF8) {
483         f = NCONF_get_string(conf, section, UTF8_IN);
484         if (!f)
485             ERR_clear_error();
486         else if (strcmp(f, "yes") == 0)
487             chtype = MBSTRING_UTF8;
488     }
489
490     db_attr.unique_subject = 1;
491     p = NCONF_get_string(conf, section, ENV_UNIQUE_SUBJECT);
492     if (p) {
493         db_attr.unique_subject = parse_yesno(p, 1);
494     } else
495         ERR_clear_error();
496
497     /*****************************************************************/
498     /* report status of cert with serial number given on command line */
499     if (ser_status) {
500         dbfile = lookup_conf(conf, section, ENV_DATABASE);
501         if (dbfile == NULL)
502             goto end;
503
504         db = load_index(dbfile, &db_attr);
505         if (db == NULL)
506             goto end;
507
508         if (!index_index(db))
509             goto end;
510
511         if (get_certificate_status(ser_status, db) != 1)
512             BIO_printf(bio_err, "Error verifying serial %s!\n", ser_status);
513         goto end;
514     }
515
516     /*****************************************************************/
517     /* we definitely need a private key, so let's get it */
518
519     if (keyfile == NULL
520         && (keyfile = lookup_conf(conf, section, ENV_PRIVATE_KEY)) == NULL)
521         goto end;
522
523     if (!key) {
524         free_key = 1;
525         if (!app_passwd(passinarg, NULL, &key, NULL)) {
526             BIO_printf(bio_err, "Error getting password\n");
527             goto end;
528         }
529     }
530     pkey = load_key(keyfile, keyformat, 0, key, e, "CA private key");
531     if (key)
532         OPENSSL_cleanse(key, strlen(key));
533     if (pkey == NULL) {
534         /* load_key() has already printed an appropriate message */
535         goto end;
536     }
537
538     /*****************************************************************/
539     /* we need a certificate */
540     if (!selfsign || spkac_file || ss_cert_file || gencrl) {
541         if (certfile == NULL
542             && (certfile = lookup_conf(conf, section, ENV_CERTIFICATE)) == NULL)
543             goto end;
544
545         x509 = load_cert(certfile, FORMAT_PEM, "CA certificate");
546         if (x509 == NULL)
547             goto end;
548
549         if (!X509_check_private_key(x509, pkey)) {
550             BIO_printf(bio_err,
551                        "CA certificate and CA private key do not match\n");
552             goto end;
553         }
554     }
555     if (!selfsign)
556         x509p = x509;
557
558     f = NCONF_get_string(conf, BASE_SECTION, ENV_PRESERVE);
559     if (f == NULL)
560         ERR_clear_error();
561     if ((f != NULL) && ((*f == 'y') || (*f == 'Y')))
562         preserve = 1;
563     f = NCONF_get_string(conf, BASE_SECTION, ENV_MSIE_HACK);
564     if (f == NULL)
565         ERR_clear_error();
566     if ((f != NULL) && ((*f == 'y') || (*f == 'Y')))
567         msie_hack = 1;
568
569     f = NCONF_get_string(conf, section, ENV_NAMEOPT);
570
571     if (f) {
572         if (!set_name_ex(&nameopt, f)) {
573             BIO_printf(bio_err, "Invalid name options: \"%s\"\n", f);
574             goto end;
575         }
576         default_op = 0;
577     } else {
578         nameopt = XN_FLAG_ONELINE;
579         ERR_clear_error();
580     }
581
582     f = NCONF_get_string(conf, section, ENV_CERTOPT);
583
584     if (f) {
585         if (!set_cert_ex(&certopt, f)) {
586             BIO_printf(bio_err, "Invalid certificate options: \"%s\"\n", f);
587             goto end;
588         }
589         default_op = 0;
590     } else
591         ERR_clear_error();
592
593     f = NCONF_get_string(conf, section, ENV_EXTCOPY);
594
595     if (f) {
596         if (!set_ext_copy(&ext_copy, f)) {
597             BIO_printf(bio_err, "Invalid extension copy option: \"%s\"\n", f);
598             goto end;
599         }
600     } else
601         ERR_clear_error();
602
603     /*****************************************************************/
604     /* lookup where to write new certificates */
605     if ((outdir == NULL) && (req)) {
606
607         outdir = NCONF_get_string(conf, section, ENV_NEW_CERTS_DIR);
608         if (outdir == NULL) {
609             BIO_printf(bio_err,
610                        "there needs to be defined a directory for new certificate to be placed in\n");
611             goto end;
612         }
613 #ifndef OPENSSL_SYS_VMS
614         /*
615          * outdir is a directory spec, but access() for VMS demands a
616          * filename.  We could use the DEC C routine to convert the
617          * directory syntax to Unixly, and give that to app_isdir,
618          * but for now the fopen will catch the error if it's not a
619          * directory
620          */
621         if (app_isdir(outdir) <= 0) {
622             BIO_printf(bio_err, "%s: %s is not a directory\n", prog, outdir);
623             perror(outdir);
624             goto end;
625         }
626 #endif
627     }
628
629     /*****************************************************************/
630     /* we need to load the database file */
631     dbfile = lookup_conf(conf, section, ENV_DATABASE);
632     if (dbfile == NULL)
633         goto end;
634
635     db = load_index(dbfile, &db_attr);
636     if (db == NULL)
637         goto end;
638
639     /* Lets check some fields */
640     for (i = 0; i < sk_OPENSSL_PSTRING_num(db->db->data); i++) {
641         pp = sk_OPENSSL_PSTRING_value(db->db->data, i);
642         if ((pp[DB_type][0] != DB_TYPE_REV) && (pp[DB_rev_date][0] != '\0')) {
643             BIO_printf(bio_err,
644                        "entry %d: not revoked yet, but has a revocation date\n",
645                        i + 1);
646             goto end;
647         }
648         if ((pp[DB_type][0] == DB_TYPE_REV) &&
649             !make_revoked(NULL, pp[DB_rev_date])) {
650             BIO_printf(bio_err, " in entry %d\n", i + 1);
651             goto end;
652         }
653         if (!check_time_format((char *)pp[DB_exp_date])) {
654             BIO_printf(bio_err, "entry %d: invalid expiry date\n", i + 1);
655             goto end;
656         }
657         p = pp[DB_serial];
658         j = strlen(p);
659         if (*p == '-') {
660             p++;
661             j--;
662         }
663         if ((j & 1) || (j < 2)) {
664             BIO_printf(bio_err, "entry %d: bad serial number length (%d)\n",
665                        i + 1, j);
666             goto end;
667         }
668         for ( ; *p; p++) {
669             if (!isxdigit(_UC(*p))) {
670                 BIO_printf(bio_err,
671                            "entry %d: bad char 0%o '%c' in serial number\n",
672                            i + 1, *p, *p);
673                 goto end;
674             }
675         }
676     }
677     if (verbose) {
678         TXT_DB_write(bio_out, db->db);
679         BIO_printf(bio_err, "%d entries loaded from the database\n",
680                    sk_OPENSSL_PSTRING_num(db->db->data));
681         BIO_printf(bio_err, "generating index\n");
682     }
683
684     if (!index_index(db))
685         goto end;
686
687     /*****************************************************************/
688     /* Update the db file for expired certificates */
689     if (doupdatedb) {
690         if (verbose)
691             BIO_printf(bio_err, "Updating %s ...\n", dbfile);
692
693         i = do_updatedb(db);
694         if (i == -1) {
695             BIO_printf(bio_err, "Malloc failure\n");
696             goto end;
697         } else if (i == 0) {
698             if (verbose)
699                 BIO_printf(bio_err, "No entries found to mark expired\n");
700         } else {
701             if (!save_index(dbfile, "new", db))
702                 goto end;
703
704             if (!rotate_index(dbfile, "new", "old"))
705                 goto end;
706
707             if (verbose)
708                 BIO_printf(bio_err,
709                            "Done. %d entries marked as expired\n", i);
710         }
711     }
712
713     /*****************************************************************/
714     /* Read extensions config file                                   */
715     if (extfile) {
716         if ((extconf = app_load_config(extfile)) == NULL) {
717             ret = 1;
718             goto end;
719         }
720
721         if (verbose)
722             BIO_printf(bio_err, "Successfully loaded extensions file %s\n",
723                        extfile);
724
725         /* We can have sections in the ext file */
726         if (extensions == NULL) {
727             extensions = NCONF_get_string(extconf, "default", "extensions");
728             if (extensions == NULL)
729                 extensions = "default";
730         }
731     }
732
733     /*****************************************************************/
734     if (req || gencrl) {
735         /* FIXME: Is it really always text? */
736         Sout = bio_open_default(outfile, 'w', FORMAT_TEXT);
737         if (Sout == NULL)
738             goto end;
739     }
740
741     if (md == NULL
742         && (md = lookup_conf(conf, section, ENV_DEFAULT_MD)) == NULL)
743         goto end;
744
745     if (strcmp(md, "default") == 0) {
746         int def_nid;
747         if (EVP_PKEY_get_default_digest_nid(pkey, &def_nid) <= 0) {
748             BIO_puts(bio_err, "no default digest\n");
749             goto end;
750         }
751         md = (char *)OBJ_nid2sn(def_nid);
752     }
753
754     if (!opt_md(md, &dgst)) {
755         goto end;
756     }
757
758     if (req) {
759         if (email_dn == 1) {
760             char *tmp_email_dn = NULL;
761
762             tmp_email_dn = NCONF_get_string(conf, section, ENV_DEFAULT_EMAIL_DN);
763             if (tmp_email_dn != NULL && strcmp(tmp_email_dn, "no") == 0)
764                 email_dn = 0;
765         }
766         if (verbose)
767             BIO_printf(bio_err, "message digest is %s\n",
768                        OBJ_nid2ln(EVP_MD_type(dgst)));
769         if (policy == NULL
770             && (policy = lookup_conf(conf, section, ENV_POLICY)) == NULL)
771             goto end;
772
773         if (verbose)
774             BIO_printf(bio_err, "policy is %s\n", policy);
775
776         serialfile = lookup_conf(conf, section, ENV_SERIAL);
777         if (serialfile == NULL)
778             goto end;
779
780         if (!extconf) {
781             /*
782              * no '-extfile' option, so we look for extensions in the main
783              * configuration file
784              */
785             if (!extensions) {
786                 extensions = NCONF_get_string(conf, section, ENV_EXTENSIONS);
787                 if (!extensions)
788                     ERR_clear_error();
789             }
790             if (extensions) {
791                 /* Check syntax of file */
792                 X509V3_CTX ctx;
793                 X509V3_set_ctx_test(&ctx);
794                 X509V3_set_nconf(&ctx, conf);
795                 if (!X509V3_EXT_add_nconf(conf, &ctx, extensions, NULL)) {
796                     BIO_printf(bio_err,
797                                "Error Loading extension section %s\n",
798                                extensions);
799                     ret = 1;
800                     goto end;
801                 }
802             }
803         }
804
805         if (startdate == NULL) {
806             startdate = NCONF_get_string(conf, section,
807                                          ENV_DEFAULT_STARTDATE);
808             if (startdate == NULL)
809                 ERR_clear_error();
810         }
811         if (startdate && !ASN1_TIME_set_string(NULL, startdate)) {
812             BIO_printf(bio_err,
813                        "start date is invalid, it should be YYMMDDHHMMSSZ or YYYYMMDDHHMMSSZ\n");
814             goto end;
815         }
816         if (startdate == NULL)
817             startdate = "today";
818
819         if (enddate == NULL) {
820             enddate = NCONF_get_string(conf, section, ENV_DEFAULT_ENDDATE);
821             if (enddate == NULL)
822                 ERR_clear_error();
823         }
824         if (enddate && !ASN1_TIME_set_string(NULL, enddate)) {
825             BIO_printf(bio_err,
826                        "end date is invalid, it should be YYMMDDHHMMSSZ or YYYYMMDDHHMMSSZ\n");
827             goto end;
828         }
829
830         if (days == 0) {
831             if (!NCONF_get_number(conf, section, ENV_DEFAULT_DAYS, &days))
832                 days = 0;
833         }
834         if (!enddate && (days == 0)) {
835             BIO_printf(bio_err,
836                        "cannot lookup how many days to certify for\n");
837             goto end;
838         }
839
840         if ((serial = load_serial(serialfile, create_ser, NULL)) == NULL) {
841             BIO_printf(bio_err, "error while loading serial number\n");
842             goto end;
843         }
844         if (verbose) {
845             if (BN_is_zero(serial))
846                 BIO_printf(bio_err, "next serial number is 00\n");
847             else {
848                 if ((f = BN_bn2hex(serial)) == NULL)
849                     goto end;
850                 BIO_printf(bio_err, "next serial number is %s\n", f);
851                 OPENSSL_free(f);
852             }
853         }
854
855         if ((attribs = NCONF_get_section(conf, policy)) == NULL) {
856             BIO_printf(bio_err, "unable to find 'section' for %s\n", policy);
857             goto end;
858         }
859
860         if ((cert_sk = sk_X509_new_null()) == NULL) {
861             BIO_printf(bio_err, "Memory allocation failure\n");
862             goto end;
863         }
864         if (spkac_file != NULL) {
865             total++;
866             j = certify_spkac(&x, spkac_file, pkey, x509, dgst, sigopts,
867                               attribs, db, serial, subj, chtype, multirdn,
868                               email_dn, startdate, enddate, days, extensions,
869                               conf, verbose, certopt, nameopt, default_op,
870                               ext_copy);
871             if (j < 0)
872                 goto end;
873             if (j > 0) {
874                 total_done++;
875                 BIO_printf(bio_err, "\n");
876                 if (!BN_add_word(serial, 1))
877                     goto end;
878                 if (!sk_X509_push(cert_sk, x)) {
879                     BIO_printf(bio_err, "Memory allocation failure\n");
880                     goto end;
881                 }
882                 if (outfile) {
883                     output_der = 1;
884                     batch = 1;
885                 }
886             }
887         }
888         if (ss_cert_file != NULL) {
889             total++;
890             j = certify_cert(&x, ss_cert_file, pkey, x509, dgst, sigopts,
891                              attribs,
892                              db, serial, subj, chtype, multirdn, email_dn,
893                              startdate, enddate, days, batch, extensions,
894                              conf, verbose, certopt, nameopt, default_op,
895                              ext_copy);
896             if (j < 0)
897                 goto end;
898             if (j > 0) {
899                 total_done++;
900                 BIO_printf(bio_err, "\n");
901                 if (!BN_add_word(serial, 1))
902                     goto end;
903                 if (!sk_X509_push(cert_sk, x)) {
904                     BIO_printf(bio_err, "Memory allocation failure\n");
905                     goto end;
906                 }
907             }
908         }
909         if (infile != NULL) {
910             total++;
911             j = certify(&x, infile, pkey, x509p, dgst, sigopts, attribs, db,
912                         serial, subj, chtype, multirdn, email_dn, startdate,
913                         enddate, days, batch, extensions, conf, verbose,
914                         certopt, nameopt, default_op, ext_copy, selfsign);
915             if (j < 0)
916                 goto end;
917             if (j > 0) {
918                 total_done++;
919                 BIO_printf(bio_err, "\n");
920                 if (!BN_add_word(serial, 1))
921                     goto end;
922                 if (!sk_X509_push(cert_sk, x)) {
923                     BIO_printf(bio_err, "Memory allocation failure\n");
924                     goto end;
925                 }
926             }
927         }
928         for (i = 0; i < argc; i++) {
929             total++;
930             j = certify(&x, argv[i], pkey, x509p, dgst, sigopts, attribs, db,
931                         serial, subj, chtype, multirdn, email_dn, startdate,
932                         enddate, days, batch, extensions, conf, verbose,
933                         certopt, nameopt, default_op, ext_copy, selfsign);
934             if (j < 0)
935                 goto end;
936             if (j > 0) {
937                 total_done++;
938                 BIO_printf(bio_err, "\n");
939                 if (!BN_add_word(serial, 1))
940                     goto end;
941                 if (!sk_X509_push(cert_sk, x)) {
942                     BIO_printf(bio_err, "Memory allocation failure\n");
943                     goto end;
944                 }
945             }
946         }
947         /*
948          * we have a stack of newly certified certificates and a data base
949          * and serial number that need updating
950          */
951
952         if (sk_X509_num(cert_sk) > 0) {
953             if (!batch) {
954                 BIO_printf(bio_err,
955                            "\n%d out of %d certificate requests certified, commit? [y/n]",
956                            total_done, total);
957                 (void)BIO_flush(bio_err);
958                 tmp[0] = '\0';
959                 if (fgets(tmp, sizeof(tmp), stdin) == NULL) {
960                     BIO_printf(bio_err,
961                                "CERTIFICATION CANCELED: I/O error\n");
962                     ret = 0;
963                     goto end;
964                 }
965                 if (tmp[0] != 'y' && tmp[0] != 'Y') {
966                     BIO_printf(bio_err, "CERTIFICATION CANCELED\n");
967                     ret = 0;
968                     goto end;
969                 }
970             }
971
972             BIO_printf(bio_err, "Write out database with %d new entries\n",
973                        sk_X509_num(cert_sk));
974
975             if (!save_serial(serialfile, "new", serial, NULL))
976                 goto end;
977
978             if (!save_index(dbfile, "new", db))
979                 goto end;
980         }
981
982         if (verbose)
983             BIO_printf(bio_err, "writing new certificates\n");
984         for (i = 0; i < sk_X509_num(cert_sk); i++) {
985             BIO *Cout = NULL;
986             X509 *xi = sk_X509_value(cert_sk, i);
987             ASN1_INTEGER *serialNumber = X509_get_serialNumber(xi);
988             int k;
989             char *n;
990
991             j = ASN1_STRING_length(serialNumber);
992             p = (const char *)ASN1_STRING_get0_data(serialNumber);
993
994             if (strlen(outdir) >= (size_t)(j ? CERT_MAX - j * 2 - 6 : CERT_MAX - 8)) {
995                 BIO_printf(bio_err, "certificate file name too long\n");
996                 goto end;
997             }
998
999             strcpy(new_cert, outdir);
1000 #ifndef OPENSSL_SYS_VMS
1001             OPENSSL_strlcat(new_cert, "/", sizeof(new_cert));
1002 #endif
1003
1004             n = (char *)&(new_cert[strlen(new_cert)]);
1005             if (j > 0) {
1006                 for (k = 0; k < j; k++) {
1007                     if (n >= &(new_cert[sizeof(new_cert)]))
1008                         break;
1009                     BIO_snprintf(n,
1010                                  &new_cert[0] + sizeof(new_cert) - n,
1011                                  "%02X", (unsigned char)*(p++));
1012                     n += 2;
1013                 }
1014             } else {
1015                 *(n++) = '0';
1016                 *(n++) = '0';
1017             }
1018             *(n++) = '.';
1019             *(n++) = 'p';
1020             *(n++) = 'e';
1021             *(n++) = 'm';
1022             *n = '\0';
1023             if (verbose)
1024                 BIO_printf(bio_err, "writing %s\n", new_cert);
1025
1026             Cout = BIO_new_file(new_cert, "w");
1027             if (Cout == NULL) {
1028                 perror(new_cert);
1029                 goto end;
1030             }
1031             write_new_certificate(Cout, xi, 0, notext);
1032             write_new_certificate(Sout, xi, output_der, notext);
1033             BIO_free_all(Cout);
1034         }
1035
1036         if (sk_X509_num(cert_sk)) {
1037             /* Rename the database and the serial file */
1038             if (!rotate_serial(serialfile, "new", "old"))
1039                 goto end;
1040
1041             if (!rotate_index(dbfile, "new", "old"))
1042                 goto end;
1043
1044             BIO_printf(bio_err, "Data Base Updated\n");
1045         }
1046     }
1047
1048     /*****************************************************************/
1049     if (gencrl) {
1050         int crl_v2 = 0;
1051         if (!crl_ext) {
1052             crl_ext = NCONF_get_string(conf, section, ENV_CRLEXT);
1053             if (!crl_ext)
1054                 ERR_clear_error();
1055         }
1056         if (crl_ext) {
1057             /* Check syntax of file */
1058             X509V3_CTX ctx;
1059             X509V3_set_ctx_test(&ctx);
1060             X509V3_set_nconf(&ctx, conf);
1061             if (!X509V3_EXT_add_nconf(conf, &ctx, crl_ext, NULL)) {
1062                 BIO_printf(bio_err,
1063                            "Error Loading CRL extension section %s\n",
1064                            crl_ext);
1065                 ret = 1;
1066                 goto end;
1067             }
1068         }
1069
1070         if ((crlnumberfile = NCONF_get_string(conf, section, ENV_CRLNUMBER))
1071             != NULL)
1072             if ((crlnumber = load_serial(crlnumberfile, 0, NULL)) == NULL) {
1073                 BIO_printf(bio_err, "error while loading CRL number\n");
1074                 goto end;
1075             }
1076
1077         if (!crldays && !crlhours && !crlsec) {
1078             if (!NCONF_get_number(conf, section,
1079                                   ENV_DEFAULT_CRL_DAYS, &crldays))
1080                 crldays = 0;
1081             if (!NCONF_get_number(conf, section,
1082                                   ENV_DEFAULT_CRL_HOURS, &crlhours))
1083                 crlhours = 0;
1084             ERR_clear_error();
1085         }
1086         if ((crldays == 0) && (crlhours == 0) && (crlsec == 0)) {
1087             BIO_printf(bio_err,
1088                        "cannot lookup how long until the next CRL is issued\n");
1089             goto end;
1090         }
1091
1092         if (verbose)
1093             BIO_printf(bio_err, "making CRL\n");
1094         if ((crl = X509_CRL_new()) == NULL)
1095             goto end;
1096         if (!X509_CRL_set_issuer_name(crl, X509_get_subject_name(x509)))
1097             goto end;
1098
1099         tmptm = ASN1_TIME_new();
1100         if (tmptm == NULL)
1101             goto end;
1102         X509_gmtime_adj(tmptm, 0);
1103         X509_CRL_set1_lastUpdate(crl, tmptm);
1104         if (!X509_time_adj_ex(tmptm, crldays, crlhours * 60 * 60 + crlsec,
1105                               NULL)) {
1106             BIO_puts(bio_err, "error setting CRL nextUpdate\n");
1107             goto end;
1108         }
1109         X509_CRL_set1_nextUpdate(crl, tmptm);
1110
1111         ASN1_TIME_free(tmptm);
1112
1113         for (i = 0; i < sk_OPENSSL_PSTRING_num(db->db->data); i++) {
1114             pp = sk_OPENSSL_PSTRING_value(db->db->data, i);
1115             if (pp[DB_type][0] == DB_TYPE_REV) {
1116                 if ((r = X509_REVOKED_new()) == NULL)
1117                     goto end;
1118                 j = make_revoked(r, pp[DB_rev_date]);
1119                 if (!j)
1120                     goto end;
1121                 if (j == 2)
1122                     crl_v2 = 1;
1123                 if (!BN_hex2bn(&serial, pp[DB_serial]))
1124                     goto end;
1125                 tmpser = BN_to_ASN1_INTEGER(serial, NULL);
1126                 BN_free(serial);
1127                 serial = NULL;
1128                 if (!tmpser)
1129                     goto end;
1130                 X509_REVOKED_set_serialNumber(r, tmpser);
1131                 ASN1_INTEGER_free(tmpser);
1132                 X509_CRL_add0_revoked(crl, r);
1133             }
1134         }
1135
1136         /*
1137          * sort the data so it will be written in serial number order
1138          */
1139         X509_CRL_sort(crl);
1140
1141         /* we now have a CRL */
1142         if (verbose)
1143             BIO_printf(bio_err, "signing CRL\n");
1144
1145         /* Add any extensions asked for */
1146
1147         if (crl_ext || crlnumberfile != NULL) {
1148             X509V3_CTX crlctx;
1149             X509V3_set_ctx(&crlctx, x509, NULL, NULL, crl, 0);
1150             X509V3_set_nconf(&crlctx, conf);
1151
1152             if (crl_ext)
1153                 if (!X509V3_EXT_CRL_add_nconf(conf, &crlctx, crl_ext, crl))
1154                     goto end;
1155             if (crlnumberfile != NULL) {
1156                 tmpser = BN_to_ASN1_INTEGER(crlnumber, NULL);
1157                 if (!tmpser)
1158                     goto end;
1159                 X509_CRL_add1_ext_i2d(crl, NID_crl_number, tmpser, 0, 0);
1160                 ASN1_INTEGER_free(tmpser);
1161                 crl_v2 = 1;
1162                 if (!BN_add_word(crlnumber, 1))
1163                     goto end;
1164             }
1165         }
1166         if (crl_ext || crl_v2) {
1167             if (!X509_CRL_set_version(crl, 1))
1168                 goto end;       /* version 2 CRL */
1169         }
1170
1171         /* we have a CRL number that need updating */
1172         if (crlnumberfile != NULL)
1173             if (!save_serial(crlnumberfile, "new", crlnumber, NULL))
1174                 goto end;
1175
1176         BN_free(crlnumber);
1177         crlnumber = NULL;
1178
1179         if (!do_X509_CRL_sign(crl, pkey, dgst, sigopts))
1180             goto end;
1181
1182         PEM_write_bio_X509_CRL(Sout, crl);
1183
1184         if (crlnumberfile != NULL) /* Rename the crlnumber file */
1185             if (!rotate_serial(crlnumberfile, "new", "old"))
1186                 goto end;
1187
1188     }
1189     /*****************************************************************/
1190     if (dorevoke) {
1191         if (infile == NULL) {
1192             BIO_printf(bio_err, "no input files\n");
1193             goto end;
1194         } else {
1195             X509 *revcert;
1196             revcert = load_cert(infile, FORMAT_PEM, infile);
1197             if (revcert == NULL)
1198                 goto end;
1199             if (dorevoke == 2)
1200                 rev_type = REV_VALID;
1201             j = do_revoke(revcert, db, rev_type, rev_arg);
1202             if (j <= 0)
1203                 goto end;
1204             X509_free(revcert);
1205
1206             if (!save_index(dbfile, "new", db))
1207                 goto end;
1208
1209             if (!rotate_index(dbfile, "new", "old"))
1210                 goto end;
1211
1212             BIO_printf(bio_err, "Data Base Updated\n");
1213         }
1214     }
1215     /*****************************************************************/
1216     ret = 0;
1217  end:
1218     BIO_free_all(Sout);
1219     BIO_free_all(out);
1220     BIO_free_all(in);
1221     sk_X509_pop_free(cert_sk, X509_free);
1222
1223     if (ret)
1224         ERR_print_errors(bio_err);
1225     app_RAND_write_file(randfile);
1226     if (free_key)
1227         OPENSSL_free(key);
1228     BN_free(serial);
1229     BN_free(crlnumber);
1230     free_index(db);
1231     sk_OPENSSL_STRING_free(sigopts);
1232     EVP_PKEY_free(pkey);
1233     X509_free(x509);
1234     X509_CRL_free(crl);
1235     NCONF_free(conf);
1236     NCONF_free(extconf);
1237     release_engine(e);
1238     return (ret);
1239 }
1240
1241 static char *lookup_conf(const CONF *conf, const char *section, const char *tag)
1242 {
1243     char *entry = NCONF_get_string(conf, section, tag);
1244     if (entry == NULL)
1245         BIO_printf(bio_err, "variable lookup failed for %s::%s\n", section, tag);
1246     return entry;
1247 }
1248
1249 static int certify(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
1250                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
1251                    STACK_OF(CONF_VALUE) *policy, CA_DB *db,
1252                    BIGNUM *serial, const char *subj, unsigned long chtype,
1253                    int multirdn, int email_dn, const char *startdate,
1254                    const char *enddate,
1255                    long days, int batch, const char *ext_sect, CONF *lconf,
1256                    int verbose, unsigned long certopt, unsigned long nameopt,
1257                    int default_op, int ext_copy, int selfsign)
1258 {
1259     X509_REQ *req = NULL;
1260     BIO *in = NULL;
1261     EVP_PKEY *pktmp = NULL;
1262     int ok = -1, i;
1263
1264     in = BIO_new_file(infile, "r");
1265     if (in == NULL) {
1266         ERR_print_errors(bio_err);
1267         goto end;
1268     }
1269     if ((req = PEM_read_bio_X509_REQ(in, NULL, NULL, NULL)) == NULL) {
1270         BIO_printf(bio_err, "Error reading certificate request in %s\n",
1271                    infile);
1272         goto end;
1273     }
1274     if (verbose)
1275         X509_REQ_print(bio_err, req);
1276
1277     BIO_printf(bio_err, "Check that the request matches the signature\n");
1278
1279     if (selfsign && !X509_REQ_check_private_key(req, pkey)) {
1280         BIO_printf(bio_err,
1281                    "Certificate request and CA private key do not match\n");
1282         ok = 0;
1283         goto end;
1284     }
1285     if ((pktmp = X509_REQ_get0_pubkey(req)) == NULL) {
1286         BIO_printf(bio_err, "error unpacking public key\n");
1287         goto end;
1288     }
1289     i = X509_REQ_verify(req, pktmp);
1290     pktmp = NULL;
1291     if (i < 0) {
1292         ok = 0;
1293         BIO_printf(bio_err, "Signature verification problems....\n");
1294         ERR_print_errors(bio_err);
1295         goto end;
1296     }
1297     if (i == 0) {
1298         ok = 0;
1299         BIO_printf(bio_err,
1300                    "Signature did not match the certificate request\n");
1301         ERR_print_errors(bio_err);
1302         goto end;
1303     } else
1304         BIO_printf(bio_err, "Signature ok\n");
1305
1306     ok = do_body(xret, pkey, x509, dgst, sigopts, policy, db, serial, subj,
1307                  chtype, multirdn, email_dn, startdate, enddate, days, batch,
1308                  verbose, req, ext_sect, lconf, certopt, nameopt, default_op,
1309                  ext_copy, selfsign);
1310
1311  end:
1312     X509_REQ_free(req);
1313     BIO_free(in);
1314     return (ok);
1315 }
1316
1317 static int certify_cert(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
1318                         const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
1319                         STACK_OF(CONF_VALUE) *policy, CA_DB *db,
1320                         BIGNUM *serial, const char *subj, unsigned long chtype,
1321                         int multirdn, int email_dn, const char *startdate,
1322                         const char *enddate, long days, int batch, const char *ext_sect,
1323                         CONF *lconf, int verbose, unsigned long certopt,
1324                         unsigned long nameopt, int default_op, int ext_copy)
1325 {
1326     X509 *req = NULL;
1327     X509_REQ *rreq = NULL;
1328     EVP_PKEY *pktmp = NULL;
1329     int ok = -1, i;
1330
1331     if ((req = load_cert(infile, FORMAT_PEM, infile)) == NULL)
1332         goto end;
1333     if (verbose)
1334         X509_print(bio_err, req);
1335
1336     BIO_printf(bio_err, "Check that the request matches the signature\n");
1337
1338     if ((pktmp = X509_get0_pubkey(req)) == NULL) {
1339         BIO_printf(bio_err, "error unpacking public key\n");
1340         goto end;
1341     }
1342     i = X509_verify(req, pktmp);
1343     if (i < 0) {
1344         ok = 0;
1345         BIO_printf(bio_err, "Signature verification problems....\n");
1346         goto end;
1347     }
1348     if (i == 0) {
1349         ok = 0;
1350         BIO_printf(bio_err, "Signature did not match the certificate\n");
1351         goto end;
1352     } else
1353         BIO_printf(bio_err, "Signature ok\n");
1354
1355     if ((rreq = X509_to_X509_REQ(req, NULL, NULL)) == NULL)
1356         goto end;
1357
1358     ok = do_body(xret, pkey, x509, dgst, sigopts, policy, db, serial, subj,
1359                  chtype, multirdn, email_dn, startdate, enddate, days, batch,
1360                  verbose, rreq, ext_sect, lconf, certopt, nameopt, default_op,
1361                  ext_copy, 0);
1362
1363  end:
1364     X509_REQ_free(rreq);
1365     X509_free(req);
1366     return (ok);
1367 }
1368
1369 static int do_body(X509 **xret, EVP_PKEY *pkey, X509 *x509,
1370                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
1371                    STACK_OF(CONF_VALUE) *policy, CA_DB *db, BIGNUM *serial,
1372                    const char *subj, unsigned long chtype, int multirdn,
1373                    int email_dn, const char *startdate, const char *enddate, long days,
1374                    int batch, int verbose, X509_REQ *req, const char *ext_sect,
1375                    CONF *lconf, unsigned long certopt, unsigned long nameopt,
1376                    int default_op, int ext_copy, int selfsign)
1377 {
1378     X509_NAME *name = NULL, *CAname = NULL, *subject = NULL, *dn_subject =
1379         NULL;
1380     const ASN1_TIME *tm;
1381     ASN1_STRING *str, *str2;
1382     ASN1_OBJECT *obj;
1383     X509 *ret = NULL;
1384     X509_NAME_ENTRY *ne, *tne;
1385     EVP_PKEY *pktmp;
1386     int ok = -1, i, j, last, nid;
1387     const char *p;
1388     CONF_VALUE *cv;
1389     OPENSSL_STRING row[DB_NUMBER];
1390     OPENSSL_STRING *irow = NULL;
1391     OPENSSL_STRING *rrow = NULL;
1392     char buf[25];
1393
1394     for (i = 0; i < DB_NUMBER; i++)
1395         row[i] = NULL;
1396
1397     if (subj) {
1398         X509_NAME *n = parse_name(subj, chtype, multirdn);
1399
1400         if (!n) {
1401             ERR_print_errors(bio_err);
1402             goto end;
1403         }
1404         X509_REQ_set_subject_name(req, n);
1405         X509_NAME_free(n);
1406     }
1407
1408     if (default_op)
1409         BIO_printf(bio_err,
1410                    "The Subject's Distinguished Name is as follows\n");
1411
1412     name = X509_REQ_get_subject_name(req);
1413     for (i = 0; i < X509_NAME_entry_count(name); i++) {
1414         ne = X509_NAME_get_entry(name, i);
1415         str = X509_NAME_ENTRY_get_data(ne);
1416         obj = X509_NAME_ENTRY_get_object(ne);
1417         nid = OBJ_obj2nid(obj);
1418
1419         if (msie_hack) {
1420             /* assume all type should be strings */
1421
1422             if (str->type == V_ASN1_UNIVERSALSTRING)
1423                 ASN1_UNIVERSALSTRING_to_string(str);
1424
1425             if (str->type == V_ASN1_IA5STRING && nid != NID_pkcs9_emailAddress)
1426                 str->type = V_ASN1_T61STRING;
1427
1428             if (nid == NID_pkcs9_emailAddress
1429                 && str->type == V_ASN1_PRINTABLESTRING)
1430                 str->type = V_ASN1_IA5STRING;
1431         }
1432
1433         /* If no EMAIL is wanted in the subject */
1434         if (nid == NID_pkcs9_emailAddress && !email_dn)
1435             continue;
1436
1437         /* check some things */
1438         if (nid == NID_pkcs9_emailAddress && str->type != V_ASN1_IA5STRING) {
1439             BIO_printf(bio_err,
1440                        "\nemailAddress type needs to be of type IA5STRING\n");
1441             goto end;
1442         }
1443         if (str->type != V_ASN1_BMPSTRING && str->type != V_ASN1_UTF8STRING) {
1444             j = ASN1_PRINTABLE_type(str->data, str->length);
1445             if ((j == V_ASN1_T61STRING && str->type != V_ASN1_T61STRING) ||
1446                 (j == V_ASN1_IA5STRING && str->type == V_ASN1_PRINTABLESTRING))
1447             {
1448                 BIO_printf(bio_err,
1449                            "\nThe string contains characters that are illegal for the ASN.1 type\n");
1450                 goto end;
1451             }
1452         }
1453
1454         if (default_op)
1455             old_entry_print(obj, str);
1456     }
1457
1458     /* Ok, now we check the 'policy' stuff. */
1459     if ((subject = X509_NAME_new()) == NULL) {
1460         BIO_printf(bio_err, "Memory allocation failure\n");
1461         goto end;
1462     }
1463
1464     /* take a copy of the issuer name before we mess with it. */
1465     if (selfsign)
1466         CAname = X509_NAME_dup(name);
1467     else
1468         CAname = X509_NAME_dup(X509_get_subject_name(x509));
1469     if (CAname == NULL)
1470         goto end;
1471     str = str2 = NULL;
1472
1473     for (i = 0; i < sk_CONF_VALUE_num(policy); i++) {
1474         cv = sk_CONF_VALUE_value(policy, i); /* get the object id */
1475         if ((j = OBJ_txt2nid(cv->name)) == NID_undef) {
1476             BIO_printf(bio_err,
1477                        "%s:unknown object type in 'policy' configuration\n",
1478                        cv->name);
1479             goto end;
1480         }
1481         obj = OBJ_nid2obj(j);
1482
1483         last = -1;
1484         for (;;) {
1485             X509_NAME_ENTRY *push = NULL;
1486
1487             /* lookup the object in the supplied name list */
1488             j = X509_NAME_get_index_by_OBJ(name, obj, last);
1489             if (j < 0) {
1490                 if (last != -1)
1491                     break;
1492                 tne = NULL;
1493             } else {
1494                 tne = X509_NAME_get_entry(name, j);
1495             }
1496             last = j;
1497
1498             /* depending on the 'policy', decide what to do. */
1499             if (strcmp(cv->value, "optional") == 0) {
1500                 if (tne != NULL)
1501                     push = tne;
1502             } else if (strcmp(cv->value, "supplied") == 0) {
1503                 if (tne == NULL) {
1504                     BIO_printf(bio_err,
1505                                "The %s field needed to be supplied and was missing\n",
1506                                cv->name);
1507                     goto end;
1508                 } else
1509                     push = tne;
1510             } else if (strcmp(cv->value, "match") == 0) {
1511                 int last2;
1512
1513                 if (tne == NULL) {
1514                     BIO_printf(bio_err,
1515                                "The mandatory %s field was missing\n",
1516                                cv->name);
1517                     goto end;
1518                 }
1519
1520                 last2 = -1;
1521
1522  again2:
1523                 j = X509_NAME_get_index_by_OBJ(CAname, obj, last2);
1524                 if ((j < 0) && (last2 == -1)) {
1525                     BIO_printf(bio_err,
1526                                "The %s field does not exist in the CA certificate,\n"
1527                                "the 'policy' is misconfigured\n",
1528                                cv->name);
1529                     goto end;
1530                 }
1531                 if (j >= 0) {
1532                     push = X509_NAME_get_entry(CAname, j);
1533                     str = X509_NAME_ENTRY_get_data(tne);
1534                     str2 = X509_NAME_ENTRY_get_data(push);
1535                     last2 = j;
1536                     if (ASN1_STRING_cmp(str, str2) != 0)
1537                         goto again2;
1538                 }
1539                 if (j < 0) {
1540                     BIO_printf(bio_err,
1541                                "The %s field is different between\n"
1542                                "CA certificate (%s) and the request (%s)\n",
1543                                cv->name,
1544                                ((str2 == NULL) ? "NULL" : (char *)str2->data),
1545                                ((str == NULL) ? "NULL" : (char *)str->data));
1546                     goto end;
1547                 }
1548             } else {
1549                 BIO_printf(bio_err,
1550                            "%s:invalid type in 'policy' configuration\n",
1551                            cv->value);
1552                 goto end;
1553             }
1554
1555             if (push != NULL) {
1556                 if (!X509_NAME_add_entry(subject, push, -1, 0)) {
1557                     X509_NAME_ENTRY_free(push);
1558                     BIO_printf(bio_err, "Memory allocation failure\n");
1559                     goto end;
1560                 }
1561             }
1562             if (j < 0)
1563                 break;
1564         }
1565     }
1566
1567     if (preserve) {
1568         X509_NAME_free(subject);
1569         /* subject=X509_NAME_dup(X509_REQ_get_subject_name(req)); */
1570         subject = X509_NAME_dup(name);
1571         if (subject == NULL)
1572             goto end;
1573     }
1574
1575     if (verbose)
1576         BIO_printf(bio_err,
1577                    "The subject name appears to be ok, checking data base for clashes\n");
1578
1579     /* 
1580      * Build the correct Subject if no e-mail is wanted in the subject.
1581      * And add it later on because of the method extensions are added (altName)
1582      */
1583
1584     if (email_dn)
1585         dn_subject = subject;
1586     else {
1587         X509_NAME_ENTRY *tmpne;
1588         /*
1589          * Its best to dup the subject DN and then delete any email addresses
1590          * because this retains its structure.
1591          */
1592         if ((dn_subject = X509_NAME_dup(subject)) == NULL) {
1593             BIO_printf(bio_err, "Memory allocation failure\n");
1594             goto end;
1595         }
1596         while ((i = X509_NAME_get_index_by_NID(dn_subject,
1597                                                NID_pkcs9_emailAddress,
1598                                                -1)) >= 0) {
1599             tmpne = X509_NAME_get_entry(dn_subject, i);
1600             X509_NAME_delete_entry(dn_subject, i);
1601             X509_NAME_ENTRY_free(tmpne);
1602         }
1603     }
1604
1605     if (BN_is_zero(serial))
1606         row[DB_serial] = OPENSSL_strdup("00");
1607     else
1608         row[DB_serial] = BN_bn2hex(serial);
1609     if (row[DB_serial] == NULL) {
1610         BIO_printf(bio_err, "Memory allocation failure\n");
1611         goto end;
1612     }
1613
1614     if (db->attributes.unique_subject) {
1615         OPENSSL_STRING *crow = row;
1616
1617         rrow = TXT_DB_get_by_index(db->db, DB_name, crow);
1618         if (rrow != NULL) {
1619             BIO_printf(bio_err,
1620                        "ERROR:There is already a certificate for %s\n",
1621                        row[DB_name]);
1622         }
1623     }
1624     if (rrow == NULL) {
1625         rrow = TXT_DB_get_by_index(db->db, DB_serial, row);
1626         if (rrow != NULL) {
1627             BIO_printf(bio_err,
1628                        "ERROR:Serial number %s has already been issued,\n",
1629                        row[DB_serial]);
1630             BIO_printf(bio_err,
1631                        "      check the database/serial_file for corruption\n");
1632         }
1633     }
1634
1635     if (rrow != NULL) {
1636         BIO_printf(bio_err, "The matching entry has the following details\n");
1637         if (rrow[DB_type][0] == DB_TYPE_EXP)
1638             p = "Expired";
1639         else if (rrow[DB_type][0] == DB_TYPE_REV)
1640             p = "Revoked";
1641         else if (rrow[DB_type][0] == DB_TYPE_VAL)
1642             p = "Valid";
1643         else
1644             p = "\ninvalid type, Data base error\n";
1645         BIO_printf(bio_err, "Type          :%s\n", p);;
1646         if (rrow[DB_type][0] == DB_TYPE_REV) {
1647             p = rrow[DB_exp_date];
1648             if (p == NULL)
1649                 p = "undef";
1650             BIO_printf(bio_err, "Was revoked on:%s\n", p);
1651         }
1652         p = rrow[DB_exp_date];
1653         if (p == NULL)
1654             p = "undef";
1655         BIO_printf(bio_err, "Expires on    :%s\n", p);
1656         p = rrow[DB_serial];
1657         if (p == NULL)
1658             p = "undef";
1659         BIO_printf(bio_err, "Serial Number :%s\n", p);
1660         p = rrow[DB_file];
1661         if (p == NULL)
1662             p = "undef";
1663         BIO_printf(bio_err, "File name     :%s\n", p);
1664         p = rrow[DB_name];
1665         if (p == NULL)
1666             p = "undef";
1667         BIO_printf(bio_err, "Subject Name  :%s\n", p);
1668         ok = -1;                /* This is now a 'bad' error. */
1669         goto end;
1670     }
1671
1672     /* We are now totally happy, lets make and sign the certificate */
1673     if (verbose)
1674         BIO_printf(bio_err,
1675                    "Everything appears to be ok, creating and signing the certificate\n");
1676
1677     if ((ret = X509_new()) == NULL)
1678         goto end;
1679
1680 #ifdef X509_V3
1681     /* Make it an X509 v3 certificate. */
1682     if (!X509_set_version(ret, 2))
1683         goto end;
1684 #endif
1685
1686     if (BN_to_ASN1_INTEGER(serial, X509_get_serialNumber(ret)) == NULL)
1687         goto end;
1688     if (selfsign) {
1689         if (!X509_set_issuer_name(ret, subject))
1690             goto end;
1691     } else {
1692         if (!X509_set_issuer_name(ret, X509_get_subject_name(x509)))
1693             goto end;
1694     }
1695
1696     if (!set_cert_times(ret, startdate, enddate, days))
1697         goto end;
1698
1699     if (enddate != NULL) {
1700         int tdays;
1701         ASN1_TIME_diff(&tdays, NULL, NULL, X509_get0_notAfter(ret));
1702         days = tdays;
1703     }
1704
1705     if (!X509_set_subject_name(ret, subject))
1706         goto end;
1707
1708     pktmp = X509_REQ_get0_pubkey(req);
1709     i = X509_set_pubkey(ret, pktmp);
1710     if (!i)
1711         goto end;
1712
1713     /* Lets add the extensions, if there are any */
1714     if (ext_sect) {
1715         X509V3_CTX ctx;
1716         X509_set_version(ret, 2);
1717
1718         /* Initialize the context structure */
1719         if (selfsign)
1720             X509V3_set_ctx(&ctx, ret, ret, req, NULL, 0);
1721         else
1722             X509V3_set_ctx(&ctx, x509, ret, req, NULL, 0);
1723
1724         if (extconf) {
1725             if (verbose)
1726                 BIO_printf(bio_err, "Extra configuration file found\n");
1727
1728             /* Use the extconf configuration db LHASH */
1729             X509V3_set_nconf(&ctx, extconf);
1730
1731             /* Test the structure (needed?) */
1732             /* X509V3_set_ctx_test(&ctx); */
1733
1734             /* Adds exts contained in the configuration file */
1735             if (!X509V3_EXT_add_nconf(extconf, &ctx, ext_sect, ret)) {
1736                 BIO_printf(bio_err,
1737                            "ERROR: adding extensions in section %s\n",
1738                            ext_sect);
1739                 ERR_print_errors(bio_err);
1740                 goto end;
1741             }
1742             if (verbose)
1743                 BIO_printf(bio_err,
1744                            "Successfully added extensions from file.\n");
1745         } else if (ext_sect) {
1746             /* We found extensions to be set from config file */
1747             X509V3_set_nconf(&ctx, lconf);
1748
1749             if (!X509V3_EXT_add_nconf(lconf, &ctx, ext_sect, ret)) {
1750                 BIO_printf(bio_err,
1751                            "ERROR: adding extensions in section %s\n",
1752                            ext_sect);
1753                 ERR_print_errors(bio_err);
1754                 goto end;
1755             }
1756
1757             if (verbose)
1758                 BIO_printf(bio_err,
1759                            "Successfully added extensions from config\n");
1760         }
1761     }
1762
1763     /* Copy extensions from request (if any) */
1764
1765     if (!copy_extensions(ret, req, ext_copy)) {
1766         BIO_printf(bio_err, "ERROR: adding extensions from request\n");
1767         ERR_print_errors(bio_err);
1768         goto end;
1769     }
1770
1771     /* Set the right value for the noemailDN option */
1772     if (email_dn == 0) {
1773         if (!X509_set_subject_name(ret, dn_subject))
1774             goto end;
1775     }
1776
1777     if (!default_op) {
1778         BIO_printf(bio_err, "Certificate Details:\n");
1779         /*
1780          * Never print signature details because signature not present
1781          */
1782         certopt |= X509_FLAG_NO_SIGDUMP | X509_FLAG_NO_SIGNAME;
1783         X509_print_ex(bio_err, ret, nameopt, certopt);
1784     }
1785
1786     BIO_printf(bio_err, "Certificate is to be certified until ");
1787     ASN1_TIME_print(bio_err, X509_get0_notAfter(ret));
1788     if (days)
1789         BIO_printf(bio_err, " (%ld days)", days);
1790     BIO_printf(bio_err, "\n");
1791
1792     if (!batch) {
1793
1794         BIO_printf(bio_err, "Sign the certificate? [y/n]:");
1795         (void)BIO_flush(bio_err);
1796         buf[0] = '\0';
1797         if (fgets(buf, sizeof(buf), stdin) == NULL) {
1798             BIO_printf(bio_err,
1799                        "CERTIFICATE WILL NOT BE CERTIFIED: I/O error\n");
1800             ok = 0;
1801             goto end;
1802         }
1803         if (!(buf[0] == 'y' || buf[0] == 'Y')) {
1804             BIO_printf(bio_err, "CERTIFICATE WILL NOT BE CERTIFIED\n");
1805             ok = 0;
1806             goto end;
1807         }
1808     }
1809
1810     pktmp = X509_get0_pubkey(ret);
1811     if (EVP_PKEY_missing_parameters(pktmp) &&
1812         !EVP_PKEY_missing_parameters(pkey))
1813         EVP_PKEY_copy_parameters(pktmp, pkey);
1814
1815     if (!do_X509_sign(ret, pkey, dgst, sigopts))
1816         goto end;
1817
1818     /* We now just add it to the database as DB_TYPE_VAL('V') */
1819     row[DB_type] = OPENSSL_strdup("V");
1820     tm = X509_get0_notAfter(ret);
1821     row[DB_exp_date] = app_malloc(tm->length + 1, "row expdate");
1822     memcpy(row[DB_exp_date], tm->data, tm->length);
1823     row[DB_exp_date][tm->length] = '\0';
1824     row[DB_rev_date] = NULL;
1825     row[DB_file] = OPENSSL_strdup("unknown");
1826     row[DB_name] = X509_NAME_oneline(X509_get_subject_name(ret), NULL, 0);
1827
1828     if ((row[DB_type] == NULL) || (row[DB_exp_date] == NULL) ||
1829         (row[DB_file] == NULL) || (row[DB_name] == NULL)) {
1830         BIO_printf(bio_err, "Memory allocation failure\n");
1831         goto end;
1832     }
1833
1834     irow = app_malloc(sizeof(*irow) * (DB_NUMBER + 1), "row space");
1835     for (i = 0; i < DB_NUMBER; i++)
1836         irow[i] = row[i];
1837     irow[DB_NUMBER] = NULL;
1838
1839     if (!TXT_DB_insert(db->db, irow)) {
1840         BIO_printf(bio_err, "failed to update database\n");
1841         BIO_printf(bio_err, "TXT_DB error number %ld\n", db->db->error);
1842         goto end;
1843     }
1844     irow = NULL;
1845     ok = 1;
1846  end:
1847     if (irow != NULL) {
1848         for (i = 0; i < DB_NUMBER; i++)
1849             OPENSSL_free(row[i]);
1850         OPENSSL_free(irow);
1851     }
1852
1853     X509_NAME_free(CAname);
1854     X509_NAME_free(subject);
1855     if (dn_subject != subject)
1856         X509_NAME_free(dn_subject);
1857     if (ok <= 0)
1858         X509_free(ret);
1859     else
1860         *xret = ret;
1861     return (ok);
1862 }
1863
1864 static void write_new_certificate(BIO *bp, X509 *x, int output_der,
1865                                   int notext)
1866 {
1867
1868     if (output_der) {
1869         (void)i2d_X509_bio(bp, x);
1870         return;
1871     }
1872     if (!notext)
1873         X509_print(bp, x);
1874     PEM_write_bio_X509(bp, x);
1875 }
1876
1877 static int certify_spkac(X509 **xret, const char *infile, EVP_PKEY *pkey,
1878                          X509 *x509, const EVP_MD *dgst,
1879                          STACK_OF(OPENSSL_STRING) *sigopts,
1880                          STACK_OF(CONF_VALUE) *policy, CA_DB *db,
1881                          BIGNUM *serial, const char *subj, unsigned long chtype,
1882                          int multirdn, int email_dn, const char *startdate,
1883                          const char *enddate, long days, const char *ext_sect,
1884                          CONF *lconf, int verbose, unsigned long certopt,
1885                          unsigned long nameopt, int default_op, int ext_copy)
1886 {
1887     STACK_OF(CONF_VALUE) *sk = NULL;
1888     LHASH_OF(CONF_VALUE) *parms = NULL;
1889     X509_REQ *req = NULL;
1890     CONF_VALUE *cv = NULL;
1891     NETSCAPE_SPKI *spki = NULL;
1892     char *type, *buf;
1893     EVP_PKEY *pktmp = NULL;
1894     X509_NAME *n = NULL;
1895     X509_NAME_ENTRY *ne = NULL;
1896     int ok = -1, i, j;
1897     long errline;
1898     int nid;
1899
1900     /*
1901      * Load input file into a hash table.  (This is just an easy
1902      * way to read and parse the file, then put it into a convenient
1903      * STACK format).
1904      */
1905     parms = CONF_load(NULL, infile, &errline);
1906     if (parms == NULL) {
1907         BIO_printf(bio_err, "error on line %ld of %s\n", errline, infile);
1908         ERR_print_errors(bio_err);
1909         goto end;
1910     }
1911
1912     sk = CONF_get_section(parms, "default");
1913     if (sk_CONF_VALUE_num(sk) == 0) {
1914         BIO_printf(bio_err, "no name/value pairs found in %s\n", infile);
1915         goto end;
1916     }
1917
1918     /*
1919      * Now create a dummy X509 request structure.  We don't actually
1920      * have an X509 request, but we have many of the components
1921      * (a public key, various DN components).  The idea is that we
1922      * put these components into the right X509 request structure
1923      * and we can use the same code as if you had a real X509 request.
1924      */
1925     req = X509_REQ_new();
1926     if (req == NULL) {
1927         ERR_print_errors(bio_err);
1928         goto end;
1929     }
1930
1931     /*
1932      * Build up the subject name set.
1933      */
1934     n = X509_REQ_get_subject_name(req);
1935
1936     for (i = 0;; i++) {
1937         if (sk_CONF_VALUE_num(sk) <= i)
1938             break;
1939
1940         cv = sk_CONF_VALUE_value(sk, i);
1941         type = cv->name;
1942         /*
1943          * Skip past any leading X. X: X, etc to allow for multiple instances
1944          */
1945         for (buf = cv->name; *buf; buf++)
1946             if ((*buf == ':') || (*buf == ',') || (*buf == '.')) {
1947                 buf++;
1948                 if (*buf)
1949                     type = buf;
1950                 break;
1951             }
1952
1953         buf = cv->value;
1954         if ((nid = OBJ_txt2nid(type)) == NID_undef) {
1955             if (strcmp(type, "SPKAC") == 0) {
1956                 spki = NETSCAPE_SPKI_b64_decode(cv->value, -1);
1957                 if (spki == NULL) {
1958                     BIO_printf(bio_err,
1959                                "unable to load Netscape SPKAC structure\n");
1960                     ERR_print_errors(bio_err);
1961                     goto end;
1962                 }
1963             }
1964             continue;
1965         }
1966
1967         if (!X509_NAME_add_entry_by_NID(n, nid, chtype,
1968                                         (unsigned char *)buf, -1, -1, 0))
1969             goto end;
1970     }
1971     if (spki == NULL) {
1972         BIO_printf(bio_err, "Netscape SPKAC structure not found in %s\n",
1973                    infile);
1974         goto end;
1975     }
1976
1977     /*
1978      * Now extract the key from the SPKI structure.
1979      */
1980
1981     BIO_printf(bio_err,
1982                "Check that the SPKAC request matches the signature\n");
1983
1984     if ((pktmp = NETSCAPE_SPKI_get_pubkey(spki)) == NULL) {
1985         BIO_printf(bio_err, "error unpacking SPKAC public key\n");
1986         goto end;
1987     }
1988
1989     j = NETSCAPE_SPKI_verify(spki, pktmp);
1990     if (j <= 0) {
1991         EVP_PKEY_free(pktmp);
1992         BIO_printf(bio_err,
1993                    "signature verification failed on SPKAC public key\n");
1994         goto end;
1995     }
1996     BIO_printf(bio_err, "Signature ok\n");
1997
1998     X509_REQ_set_pubkey(req, pktmp);
1999     EVP_PKEY_free(pktmp);
2000     ok = do_body(xret, pkey, x509, dgst, sigopts, policy, db, serial, subj,
2001                  chtype, multirdn, email_dn, startdate, enddate, days, 1,
2002                  verbose, req, ext_sect, lconf, certopt, nameopt, default_op,
2003                  ext_copy, 0);
2004  end:
2005     X509_REQ_free(req);
2006     CONF_free(parms);
2007     NETSCAPE_SPKI_free(spki);
2008     X509_NAME_ENTRY_free(ne);
2009
2010     return (ok);
2011 }
2012
2013 static int check_time_format(const char *str)
2014 {
2015     return ASN1_TIME_set_string(NULL, str);
2016 }
2017
2018 static int do_revoke(X509 *x509, CA_DB *db, REVINFO_TYPE rev_type,
2019                      const char *value)
2020 {
2021     const ASN1_TIME *tm = NULL;
2022     char *row[DB_NUMBER], **rrow, **irow;
2023     char *rev_str = NULL;
2024     BIGNUM *bn = NULL;
2025     int ok = -1, i;
2026
2027     for (i = 0; i < DB_NUMBER; i++)
2028         row[i] = NULL;
2029     row[DB_name] = X509_NAME_oneline(X509_get_subject_name(x509), NULL, 0);
2030     bn = ASN1_INTEGER_to_BN(X509_get_serialNumber(x509), NULL);
2031     if (!bn)
2032         goto end;
2033     if (BN_is_zero(bn))
2034         row[DB_serial] = OPENSSL_strdup("00");
2035     else
2036         row[DB_serial] = BN_bn2hex(bn);
2037     BN_free(bn);
2038     if ((row[DB_name] == NULL) || (row[DB_serial] == NULL)) {
2039         BIO_printf(bio_err, "Memory allocation failure\n");
2040         goto end;
2041     }
2042     /*
2043      * We have to lookup by serial number because name lookup skips revoked
2044      * certs
2045      */
2046     rrow = TXT_DB_get_by_index(db->db, DB_serial, row);
2047     if (rrow == NULL) {
2048         BIO_printf(bio_err,
2049                    "Adding Entry with serial number %s to DB for %s\n",
2050                    row[DB_serial], row[DB_name]);
2051
2052         /* We now just add it to the database as DB_TYPE_REV('V') */
2053         row[DB_type] = OPENSSL_strdup("V");
2054         tm = X509_get0_notAfter(x509);
2055         row[DB_exp_date] = app_malloc(tm->length + 1, "row exp_data");
2056         memcpy(row[DB_exp_date], tm->data, tm->length);
2057         row[DB_exp_date][tm->length] = '\0';
2058         row[DB_rev_date] = NULL;
2059         row[DB_file] = OPENSSL_strdup("unknown");
2060
2061         if (row[DB_type] == NULL || row[DB_file] == NULL) {
2062             BIO_printf(bio_err, "Memory allocation failure\n");
2063             goto end;
2064         }
2065
2066         irow = app_malloc(sizeof(*irow) * (DB_NUMBER + 1), "row ptr");
2067         for (i = 0; i < DB_NUMBER; i++)
2068             irow[i] = row[i];
2069         irow[DB_NUMBER] = NULL;
2070
2071         if (!TXT_DB_insert(db->db, irow)) {
2072             BIO_printf(bio_err, "failed to update database\n");
2073             BIO_printf(bio_err, "TXT_DB error number %ld\n", db->db->error);
2074             OPENSSL_free(irow);
2075             goto end;
2076         }
2077
2078         for (i = 0; i < DB_NUMBER; i++)
2079             row[i] = NULL;
2080
2081         /* Revoke Certificate */
2082         if (rev_type == REV_VALID)
2083             ok = 1;
2084         else
2085             /* Retry revocation after DB insertion */
2086             ok = do_revoke(x509, db, rev_type, value);
2087
2088         goto end;
2089
2090     } else if (index_name_cmp_noconst(row, rrow)) {
2091         BIO_printf(bio_err, "ERROR:name does not match %s\n", row[DB_name]);
2092         goto end;
2093     } else if (rev_type == REV_VALID) {
2094         BIO_printf(bio_err, "ERROR:Already present, serial number %s\n",
2095                    row[DB_serial]);
2096         goto end;
2097     } else if (rrow[DB_type][0] == DB_TYPE_REV) {
2098         BIO_printf(bio_err, "ERROR:Already revoked, serial number %s\n",
2099                    row[DB_serial]);
2100         goto end;
2101     } else {
2102         BIO_printf(bio_err, "Revoking Certificate %s.\n", rrow[DB_serial]);
2103         rev_str = make_revocation_str(rev_type, value);
2104         if (!rev_str) {
2105             BIO_printf(bio_err, "Error in revocation arguments\n");
2106             goto end;
2107         }
2108         rrow[DB_type][0] = DB_TYPE_REV;
2109         rrow[DB_type][1] = '\0';
2110         rrow[DB_rev_date] = rev_str;
2111     }
2112     ok = 1;
2113  end:
2114     for (i = 0; i < DB_NUMBER; i++)
2115         OPENSSL_free(row[i]);
2116     return (ok);
2117 }
2118
2119 static int get_certificate_status(const char *serial, CA_DB *db)
2120 {
2121     char *row[DB_NUMBER], **rrow;
2122     int ok = -1, i;
2123     size_t serial_len = strlen(serial);
2124
2125     /* Free Resources */
2126     for (i = 0; i < DB_NUMBER; i++)
2127         row[i] = NULL;
2128
2129     /* Malloc needed char spaces */
2130     row[DB_serial] = app_malloc(serial_len + 2, "row serial#");
2131
2132     if (serial_len % 2) {
2133         /*
2134          * Set the first char to 0
2135          */ ;
2136         row[DB_serial][0] = '0';
2137
2138         /* Copy String from serial to row[DB_serial] */
2139         memcpy(row[DB_serial] + 1, serial, serial_len);
2140         row[DB_serial][serial_len + 1] = '\0';
2141     } else {
2142         /* Copy String from serial to row[DB_serial] */
2143         memcpy(row[DB_serial], serial, serial_len);
2144         row[DB_serial][serial_len] = '\0';
2145     }
2146
2147     /* Make it Upper Case */
2148     make_uppercase(row[DB_serial]);
2149
2150     ok = 1;
2151
2152     /* Search for the certificate */
2153     rrow = TXT_DB_get_by_index(db->db, DB_serial, row);
2154     if (rrow == NULL) {
2155         BIO_printf(bio_err, "Serial %s not present in db.\n", row[DB_serial]);
2156         ok = -1;
2157         goto end;
2158     } else if (rrow[DB_type][0] == DB_TYPE_VAL) {
2159         BIO_printf(bio_err, "%s=Valid (%c)\n",
2160                    row[DB_serial], rrow[DB_type][0]);
2161         goto end;
2162     } else if (rrow[DB_type][0] == DB_TYPE_REV) {
2163         BIO_printf(bio_err, "%s=Revoked (%c)\n",
2164                    row[DB_serial], rrow[DB_type][0]);
2165         goto end;
2166     } else if (rrow[DB_type][0] == DB_TYPE_EXP) {
2167         BIO_printf(bio_err, "%s=Expired (%c)\n",
2168                    row[DB_serial], rrow[DB_type][0]);
2169         goto end;
2170     } else if (rrow[DB_type][0] == DB_TYPE_SUSP) {
2171         BIO_printf(bio_err, "%s=Suspended (%c)\n",
2172                    row[DB_serial], rrow[DB_type][0]);
2173         goto end;
2174     } else {
2175         BIO_printf(bio_err, "%s=Unknown (%c).\n",
2176                    row[DB_serial], rrow[DB_type][0]);
2177         ok = -1;
2178     }
2179  end:
2180     for (i = 0; i < DB_NUMBER; i++) {
2181         OPENSSL_free(row[i]);
2182     }
2183     return (ok);
2184 }
2185
2186 static int do_updatedb(CA_DB *db)
2187 {
2188     ASN1_UTCTIME *a_tm = NULL;
2189     int i, cnt = 0;
2190     int db_y2k, a_y2k;          /* flags = 1 if y >= 2000 */
2191     char **rrow, *a_tm_s;
2192
2193     a_tm = ASN1_UTCTIME_new();
2194     if (a_tm == NULL)
2195         return -1;
2196
2197     /* get actual time and make a string */
2198     a_tm = X509_gmtime_adj(a_tm, 0);
2199     a_tm_s = app_malloc(a_tm->length + 1, "time string");
2200
2201     memcpy(a_tm_s, a_tm->data, a_tm->length);
2202     a_tm_s[a_tm->length] = '\0';
2203
2204     if (strncmp(a_tm_s, "49", 2) <= 0)
2205         a_y2k = 1;
2206     else
2207         a_y2k = 0;
2208
2209     for (i = 0; i < sk_OPENSSL_PSTRING_num(db->db->data); i++) {
2210         rrow = sk_OPENSSL_PSTRING_value(db->db->data, i);
2211
2212         if (rrow[DB_type][0] == DB_TYPE_VAL) {
2213             /* ignore entries that are not valid */
2214             if (strncmp(rrow[DB_exp_date], "49", 2) <= 0)
2215                 db_y2k = 1;
2216             else
2217                 db_y2k = 0;
2218
2219             if (db_y2k == a_y2k) {
2220                 /* all on the same y2k side */
2221                 if (strcmp(rrow[DB_exp_date], a_tm_s) <= 0) {
2222                     rrow[DB_type][0] = DB_TYPE_EXP;
2223                     rrow[DB_type][1] = '\0';
2224                     cnt++;
2225
2226                     BIO_printf(bio_err, "%s=Expired\n", rrow[DB_serial]);
2227                 }
2228             } else if (db_y2k < a_y2k) {
2229                 rrow[DB_type][0] = DB_TYPE_EXP;
2230                 rrow[DB_type][1] = '\0';
2231                 cnt++;
2232
2233                 BIO_printf(bio_err, "%s=Expired\n", rrow[DB_serial]);
2234             }
2235
2236         }
2237     }
2238
2239     ASN1_UTCTIME_free(a_tm);
2240     OPENSSL_free(a_tm_s);
2241     return (cnt);
2242 }
2243
2244 static const char *crl_reasons[] = {
2245     /* CRL reason strings */
2246     "unspecified",
2247     "keyCompromise",
2248     "CACompromise",
2249     "affiliationChanged",
2250     "superseded",
2251     "cessationOfOperation",
2252     "certificateHold",
2253     "removeFromCRL",
2254     /* Additional pseudo reasons */
2255     "holdInstruction",
2256     "keyTime",
2257     "CAkeyTime"
2258 };
2259
2260 #define NUM_REASONS OSSL_NELEM(crl_reasons)
2261
2262 /*
2263  * Given revocation information convert to a DB string. The format of the
2264  * string is: revtime[,reason,extra]. Where 'revtime' is the revocation time
2265  * (the current time). 'reason' is the optional CRL reason and 'extra' is any
2266  * additional argument
2267  */
2268
2269 static char *make_revocation_str(REVINFO_TYPE rev_type, const char *rev_arg)
2270 {
2271     char *str;
2272     const char *reason = NULL, *other = NULL;
2273     ASN1_OBJECT *otmp;
2274     ASN1_UTCTIME *revtm = NULL;
2275     int i;
2276
2277     switch (rev_type) {
2278     case REV_NONE:
2279     case REV_VALID:
2280         break;
2281
2282     case REV_CRL_REASON:
2283         for (i = 0; i < 8; i++) {
2284             if (strcasecmp(rev_arg, crl_reasons[i]) == 0) {
2285                 reason = crl_reasons[i];
2286                 break;
2287             }
2288         }
2289         if (reason == NULL) {
2290             BIO_printf(bio_err, "Unknown CRL reason %s\n", rev_arg);
2291             return NULL;
2292         }
2293         break;
2294
2295     case REV_HOLD:
2296         /* Argument is an OID */
2297         otmp = OBJ_txt2obj(rev_arg, 0);
2298         ASN1_OBJECT_free(otmp);
2299
2300         if (otmp == NULL) {
2301             BIO_printf(bio_err, "Invalid object identifier %s\n", rev_arg);
2302             return NULL;
2303         }
2304
2305         reason = "holdInstruction";
2306         other = rev_arg;
2307         break;
2308
2309     case REV_KEY_COMPROMISE:
2310     case REV_CA_COMPROMISE:
2311         /* Argument is the key compromise time  */
2312         if (!ASN1_GENERALIZEDTIME_set_string(NULL, rev_arg)) {
2313             BIO_printf(bio_err,
2314                        "Invalid time format %s. Need YYYYMMDDHHMMSSZ\n",
2315                        rev_arg);
2316             return NULL;
2317         }
2318         other = rev_arg;
2319         if (rev_type == REV_KEY_COMPROMISE)
2320             reason = "keyTime";
2321         else
2322             reason = "CAkeyTime";
2323
2324         break;
2325     }
2326
2327     revtm = X509_gmtime_adj(NULL, 0);
2328
2329     if (!revtm)
2330         return NULL;
2331
2332     i = revtm->length + 1;
2333
2334     if (reason)
2335         i += strlen(reason) + 1;
2336     if (other)
2337         i += strlen(other) + 1;
2338
2339     str = app_malloc(i, "revocation reason");
2340     OPENSSL_strlcpy(str, (char *)revtm->data, i);
2341     if (reason) {
2342         OPENSSL_strlcat(str, ",", i);
2343         OPENSSL_strlcat(str, reason, i);
2344     }
2345     if (other) {
2346         OPENSSL_strlcat(str, ",", i);
2347         OPENSSL_strlcat(str, other, i);
2348     }
2349     ASN1_UTCTIME_free(revtm);
2350     return str;
2351 }
2352
2353 /*-
2354  * Convert revocation field to X509_REVOKED entry
2355  * return code:
2356  * 0 error
2357  * 1 OK
2358  * 2 OK and some extensions added (i.e. V2 CRL)
2359  */
2360
2361 static int make_revoked(X509_REVOKED *rev, const char *str)
2362 {
2363     char *tmp = NULL;
2364     int reason_code = -1;
2365     int i, ret = 0;
2366     ASN1_OBJECT *hold = NULL;
2367     ASN1_GENERALIZEDTIME *comp_time = NULL;
2368     ASN1_ENUMERATED *rtmp = NULL;
2369
2370     ASN1_TIME *revDate = NULL;
2371
2372     i = unpack_revinfo(&revDate, &reason_code, &hold, &comp_time, str);
2373
2374     if (i == 0)
2375         goto end;
2376
2377     if (rev && !X509_REVOKED_set_revocationDate(rev, revDate))
2378         goto end;
2379
2380     if (rev && (reason_code != OCSP_REVOKED_STATUS_NOSTATUS)) {
2381         rtmp = ASN1_ENUMERATED_new();
2382         if (rtmp == NULL || !ASN1_ENUMERATED_set(rtmp, reason_code))
2383             goto end;
2384         if (!X509_REVOKED_add1_ext_i2d(rev, NID_crl_reason, rtmp, 0, 0))
2385             goto end;
2386     }
2387
2388     if (rev && comp_time) {
2389         if (!X509_REVOKED_add1_ext_i2d
2390             (rev, NID_invalidity_date, comp_time, 0, 0))
2391             goto end;
2392     }
2393     if (rev && hold) {
2394         if (!X509_REVOKED_add1_ext_i2d
2395             (rev, NID_hold_instruction_code, hold, 0, 0))
2396             goto end;
2397     }
2398
2399     if (reason_code != OCSP_REVOKED_STATUS_NOSTATUS)
2400         ret = 2;
2401     else
2402         ret = 1;
2403
2404  end:
2405
2406     OPENSSL_free(tmp);
2407     ASN1_OBJECT_free(hold);
2408     ASN1_GENERALIZEDTIME_free(comp_time);
2409     ASN1_ENUMERATED_free(rtmp);
2410     ASN1_TIME_free(revDate);
2411
2412     return ret;
2413 }
2414
2415 static int old_entry_print(const ASN1_OBJECT *obj, const ASN1_STRING *str)
2416 {
2417     char buf[25], *pbuf;
2418     const char *p;
2419     int j;
2420
2421     j = i2a_ASN1_OBJECT(bio_err, obj);
2422     pbuf = buf;
2423     for (j = 22 - j; j > 0; j--)
2424         *(pbuf++) = ' ';
2425     *(pbuf++) = ':';
2426     *(pbuf++) = '\0';
2427     BIO_puts(bio_err, buf);
2428
2429     if (str->type == V_ASN1_PRINTABLESTRING)
2430         BIO_printf(bio_err, "PRINTABLE:'");
2431     else if (str->type == V_ASN1_T61STRING)
2432         BIO_printf(bio_err, "T61STRING:'");
2433     else if (str->type == V_ASN1_IA5STRING)
2434         BIO_printf(bio_err, "IA5STRING:'");
2435     else if (str->type == V_ASN1_UNIVERSALSTRING)
2436         BIO_printf(bio_err, "UNIVERSALSTRING:'");
2437     else
2438         BIO_printf(bio_err, "ASN.1 %2d:'", str->type);
2439
2440     p = (const char *)str->data;
2441     for (j = str->length; j > 0; j--) {
2442         if ((*p >= ' ') && (*p <= '~'))
2443             BIO_printf(bio_err, "%c", *p);
2444         else if (*p & 0x80)
2445             BIO_printf(bio_err, "\\0x%02X", *p);
2446         else if ((unsigned char)*p == 0xf7)
2447             BIO_printf(bio_err, "^?");
2448         else
2449             BIO_printf(bio_err, "^%c", *p + '@');
2450         p++;
2451     }
2452     BIO_printf(bio_err, "'\n");
2453     return 1;
2454 }
2455
2456 int unpack_revinfo(ASN1_TIME **prevtm, int *preason, ASN1_OBJECT **phold,
2457                    ASN1_GENERALIZEDTIME **pinvtm, const char *str)
2458 {
2459     char *tmp;
2460     char *rtime_str, *reason_str = NULL, *arg_str = NULL, *p;
2461     int reason_code = -1;
2462     int ret = 0;
2463     unsigned int i;
2464     ASN1_OBJECT *hold = NULL;
2465     ASN1_GENERALIZEDTIME *comp_time = NULL;
2466
2467     tmp = OPENSSL_strdup(str);
2468     if (!tmp) {
2469         BIO_printf(bio_err, "memory allocation failure\n");
2470         goto end;
2471     }
2472
2473     p = strchr(tmp, ',');
2474
2475     rtime_str = tmp;
2476
2477     if (p) {
2478         *p = '\0';
2479         p++;
2480         reason_str = p;
2481         p = strchr(p, ',');
2482         if (p) {
2483             *p = '\0';
2484             arg_str = p + 1;
2485         }
2486     }
2487
2488     if (prevtm) {
2489         *prevtm = ASN1_UTCTIME_new();
2490         if (*prevtm == NULL) {
2491             BIO_printf(bio_err, "memory allocation failure\n");
2492             goto end;
2493         }
2494         if (!ASN1_UTCTIME_set_string(*prevtm, rtime_str)) {
2495             BIO_printf(bio_err, "invalid revocation date %s\n", rtime_str);
2496             goto end;
2497         }
2498     }
2499     if (reason_str) {
2500         for (i = 0; i < NUM_REASONS; i++) {
2501             if (strcasecmp(reason_str, crl_reasons[i]) == 0) {
2502                 reason_code = i;
2503                 break;
2504             }
2505         }
2506         if (reason_code == OCSP_REVOKED_STATUS_NOSTATUS) {
2507             BIO_printf(bio_err, "invalid reason code %s\n", reason_str);
2508             goto end;
2509         }
2510
2511         if (reason_code == 7)
2512             reason_code = OCSP_REVOKED_STATUS_REMOVEFROMCRL;
2513         else if (reason_code == 8) { /* Hold instruction */
2514             if (!arg_str) {
2515                 BIO_printf(bio_err, "missing hold instruction\n");
2516                 goto end;
2517             }
2518             reason_code = OCSP_REVOKED_STATUS_CERTIFICATEHOLD;
2519             hold = OBJ_txt2obj(arg_str, 0);
2520
2521             if (!hold) {
2522                 BIO_printf(bio_err, "invalid object identifier %s\n",
2523                            arg_str);
2524                 goto end;
2525             }
2526             if (phold)
2527                 *phold = hold;
2528             else
2529                 ASN1_OBJECT_free(hold);
2530         } else if ((reason_code == 9) || (reason_code == 10)) {
2531             if (!arg_str) {
2532                 BIO_printf(bio_err, "missing compromised time\n");
2533                 goto end;
2534             }
2535             comp_time = ASN1_GENERALIZEDTIME_new();
2536             if (comp_time == NULL) {
2537                 BIO_printf(bio_err, "memory allocation failure\n");
2538                 goto end;
2539             }
2540             if (!ASN1_GENERALIZEDTIME_set_string(comp_time, arg_str)) {
2541                 BIO_printf(bio_err, "invalid compromised time %s\n", arg_str);
2542                 goto end;
2543             }
2544             if (reason_code == 9)
2545                 reason_code = OCSP_REVOKED_STATUS_KEYCOMPROMISE;
2546             else
2547                 reason_code = OCSP_REVOKED_STATUS_CACOMPROMISE;
2548         }
2549     }
2550
2551     if (preason)
2552         *preason = reason_code;
2553     if (pinvtm) {
2554         *pinvtm = comp_time;
2555         comp_time = NULL;
2556     }
2557
2558     ret = 1;
2559
2560  end:
2561
2562     OPENSSL_free(tmp);
2563     ASN1_GENERALIZEDTIME_free(comp_time);
2564
2565     return ret;
2566 }