Extend the test_ssl_new renegotiation tests to include client auth
[openssl.git] / apps / ca.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* The PPKI stuff has been donated by Jeff Barber <jeffb@issl.atl.hp.com> */
11
12 #include <stdio.h>
13 #include <stdlib.h>
14 #include <string.h>
15 #include <ctype.h>
16 #include <sys/types.h>
17 #include <openssl/conf.h>
18 #include <openssl/bio.h>
19 #include <openssl/err.h>
20 #include <openssl/bn.h>
21 #include <openssl/txt_db.h>
22 #include <openssl/evp.h>
23 #include <openssl/x509.h>
24 #include <openssl/x509v3.h>
25 #include <openssl/objects.h>
26 #include <openssl/ocsp.h>
27 #include <openssl/pem.h>
28
29 #ifndef W_OK
30 # ifdef OPENSSL_SYS_VMS
31 #  if defined(__DECC)
32 #   include <unistd.h>
33 #  else
34 #   include <unixlib.h>
35 #  endif
36 # elif !defined(OPENSSL_SYS_VXWORKS) && !defined(OPENSSL_SYS_WINDOWS)
37 #  include <sys/file.h>
38 # endif
39 #endif
40
41 #include "apps.h"
42
43 #ifndef W_OK
44 # define F_OK 0
45 # define X_OK 1
46 # define W_OK 2
47 # define R_OK 4
48 #endif
49
50 #ifndef PATH_MAX
51 # define PATH_MAX 4096
52 #endif
53 #ifndef NAME_MAX
54 # define NAME_MAX 255
55 #endif
56
57 #define CERT_MAX (PATH_MAX + NAME_MAX)
58
59 #define BASE_SECTION            "ca"
60
61 #define ENV_DEFAULT_CA          "default_ca"
62
63 #define STRING_MASK             "string_mask"
64 #define UTF8_IN                 "utf8"
65
66 #define ENV_NEW_CERTS_DIR       "new_certs_dir"
67 #define ENV_CERTIFICATE         "certificate"
68 #define ENV_SERIAL              "serial"
69 #define ENV_CRLNUMBER           "crlnumber"
70 #define ENV_PRIVATE_KEY         "private_key"
71 #define ENV_DEFAULT_DAYS        "default_days"
72 #define ENV_DEFAULT_STARTDATE   "default_startdate"
73 #define ENV_DEFAULT_ENDDATE     "default_enddate"
74 #define ENV_DEFAULT_CRL_DAYS    "default_crl_days"
75 #define ENV_DEFAULT_CRL_HOURS   "default_crl_hours"
76 #define ENV_DEFAULT_MD          "default_md"
77 #define ENV_DEFAULT_EMAIL_DN    "email_in_dn"
78 #define ENV_PRESERVE            "preserve"
79 #define ENV_POLICY              "policy"
80 #define ENV_EXTENSIONS          "x509_extensions"
81 #define ENV_CRLEXT              "crl_extensions"
82 #define ENV_MSIE_HACK           "msie_hack"
83 #define ENV_NAMEOPT             "name_opt"
84 #define ENV_CERTOPT             "cert_opt"
85 #define ENV_EXTCOPY             "copy_extensions"
86 #define ENV_UNIQUE_SUBJECT      "unique_subject"
87
88 #define ENV_DATABASE            "database"
89
90 /* Additional revocation information types */
91 typedef enum {
92     REV_VALID             = -1, /* Valid (not-revoked) status */
93     REV_NONE              = 0, /* No additional information */
94     REV_CRL_REASON        = 1, /* Value is CRL reason code */
95     REV_HOLD              = 2, /* Value is hold instruction */
96     REV_KEY_COMPROMISE    = 3, /* Value is cert key compromise time */
97     REV_CA_COMPROMISE     = 4  /* Value is CA key compromise time */
98 } REVINFO_TYPE;
99
100 static char *lookup_conf(const CONF *conf, const char *group, const char *tag);
101
102 static int certify(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
103                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
104                    STACK_OF(CONF_VALUE) *policy, CA_DB *db,
105                    BIGNUM *serial, const char *subj, unsigned long chtype,
106                    int multirdn, int email_dn, const char *startdate,
107                    const char *enddate,
108                    long days, int batch, const char *ext_sect, CONF *conf,
109                    int verbose, unsigned long certopt, unsigned long nameopt,
110                    int default_op, int ext_copy, int selfsign);
111 static int certify_cert(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
112                         const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
113                         STACK_OF(CONF_VALUE) *policy, CA_DB *db,
114                         BIGNUM *serial, const char *subj, unsigned long chtype,
115                         int multirdn, int email_dn, const char *startdate,
116                         const char *enddate, long days, int batch, const char *ext_sect,
117                         CONF *conf, int verbose, unsigned long certopt,
118                         unsigned long nameopt, int default_op, int ext_copy);
119 static int certify_spkac(X509 **xret, const char *infile, EVP_PKEY *pkey,
120                          X509 *x509, const EVP_MD *dgst,
121                          STACK_OF(OPENSSL_STRING) *sigopts,
122                          STACK_OF(CONF_VALUE) *policy, CA_DB *db,
123                          BIGNUM *serial, const char *subj, unsigned long chtype,
124                          int multirdn, int email_dn, const char *startdate,
125                          const char *enddate, long days, const char *ext_sect, CONF *conf,
126                          int verbose, unsigned long certopt,
127                          unsigned long nameopt, int default_op, int ext_copy);
128 static int do_body(X509 **xret, EVP_PKEY *pkey, X509 *x509,
129                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
130                    STACK_OF(CONF_VALUE) *policy, CA_DB *db, BIGNUM *serial,
131                    const char *subj, unsigned long chtype, int multirdn,
132                    int email_dn, const char *startdate, const char *enddate, long days,
133                    int batch, int verbose, X509_REQ *req, const char *ext_sect,
134                    CONF *conf, unsigned long certopt, unsigned long nameopt,
135                    int default_op, int ext_copy, int selfsign);
136 static int get_certificate_status(const char *ser_status, CA_DB *db);
137 static int do_updatedb(CA_DB *db);
138 static int check_time_format(const char *str);
139 static int do_revoke(X509 *x509, CA_DB *db, REVINFO_TYPE rev_type,
140                      const char *extval);
141 static char *make_revocation_str(REVINFO_TYPE rev_type, const char *rev_arg);
142 static int make_revoked(X509_REVOKED *rev, const char *str);
143 static int old_entry_print(const ASN1_OBJECT *obj, const ASN1_STRING *str);
144 static void write_new_certificate(BIO *bp, X509 *x, int output_der, int notext);
145
146 static CONF *extconf = NULL;
147 static int preserve = 0;
148 static int msie_hack = 0;
149
150 typedef enum OPTION_choice {
151     OPT_ERR = -1, OPT_EOF = 0, OPT_HELP,
152     OPT_ENGINE, OPT_VERBOSE, OPT_CONFIG, OPT_NAME, OPT_SUBJ, OPT_UTF8,
153     OPT_CREATE_SERIAL, OPT_MULTIVALUE_RDN, OPT_STARTDATE, OPT_ENDDATE,
154     OPT_DAYS, OPT_MD, OPT_POLICY, OPT_KEYFILE, OPT_KEYFORM, OPT_PASSIN,
155     OPT_KEY, OPT_CERT, OPT_SELFSIGN, OPT_IN, OPT_OUT, OPT_OUTDIR,
156     OPT_SIGOPT, OPT_NOTEXT, OPT_BATCH, OPT_PRESERVEDN, OPT_NOEMAILDN,
157     OPT_GENCRL, OPT_MSIE_HACK, OPT_CRLDAYS, OPT_CRLHOURS, OPT_CRLSEC,
158     OPT_INFILES, OPT_SS_CERT, OPT_SPKAC, OPT_REVOKE, OPT_VALID,
159     OPT_EXTENSIONS, OPT_EXTFILE, OPT_STATUS, OPT_UPDATEDB, OPT_CRLEXTS,
160     /* Do not change the order here; see related case statements below */
161     OPT_CRL_REASON, OPT_CRL_HOLD, OPT_CRL_COMPROMISE, OPT_CRL_CA_COMPROMISE
162 } OPTION_CHOICE;
163
164 const OPTIONS ca_options[] = {
165     {"help", OPT_HELP, '-', "Display this summary"},
166     {"verbose", OPT_VERBOSE, '-', "Verbose output during processing"},
167     {"config", OPT_CONFIG, 's', "A config file"},
168     {"name", OPT_NAME, 's', "The particular CA definition to use"},
169     {"subj", OPT_SUBJ, 's', "Use arg instead of request's subject"},
170     {"utf8", OPT_UTF8, '-', "Input characters are UTF8 (default ASCII)"},
171     {"create_serial", OPT_CREATE_SERIAL, '-',
172      "If reading serial fails, create a new random serial"},
173     {"multivalue-rdn", OPT_MULTIVALUE_RDN, '-',
174      "Enable support for multivalued RDNs"},
175     {"startdate", OPT_STARTDATE, 's', "Cert notBefore, YYMMDDHHMMSSZ"},
176     {"enddate", OPT_ENDDATE, 's',
177      "YYMMDDHHMMSSZ cert notAfter (overrides -days)"},
178     {"days", OPT_DAYS, 'p', "Number of days to certify the cert for"},
179     {"md", OPT_MD, 's', "md to use; one of md2, md5, sha or sha1"},
180     {"policy", OPT_POLICY, 's', "The CA 'policy' to support"},
181     {"keyfile", OPT_KEYFILE, 's', "Private key"},
182     {"keyform", OPT_KEYFORM, 'f', "Private key file format (PEM or ENGINE)"},
183     {"passin", OPT_PASSIN, 's', "Input file pass phrase source"},
184     {"key", OPT_KEY, 's', "Key to decode the private key if it is encrypted"},
185     {"cert", OPT_CERT, '<', "The CA cert"},
186     {"selfsign", OPT_SELFSIGN, '-',
187      "Sign a cert with the key associated with it"},
188     {"in", OPT_IN, '<', "The input PEM encoded cert request(s)"},
189     {"out", OPT_OUT, '>', "Where to put the output file(s)"},
190     {"outdir", OPT_OUTDIR, '/', "Where to put output cert"},
191     {"sigopt", OPT_SIGOPT, 's', "Signature parameter in n:v form"},
192     {"notext", OPT_NOTEXT, '-', "Do not print the generated certificate"},
193     {"batch", OPT_BATCH, '-', "Don't ask questions"},
194     {"preserveDN", OPT_PRESERVEDN, '-', "Don't re-order the DN"},
195     {"noemailDN", OPT_NOEMAILDN, '-', "Don't add the EMAIL field to the DN"},
196     {"gencrl", OPT_GENCRL, '-', "Generate a new CRL"},
197     {"msie_hack", OPT_MSIE_HACK, '-',
198      "msie modifications to handle all those universal strings"},
199     {"crldays", OPT_CRLDAYS, 'p', "Days until the next CRL is due"},
200     {"crlhours", OPT_CRLHOURS, 'p', "Hours until the next CRL is due"},
201     {"crlsec", OPT_CRLSEC, 'p', "Seconds until the next CRL is due"},
202     {"infiles", OPT_INFILES, '-', "The last argument, requests to process"},
203     {"ss_cert", OPT_SS_CERT, '<', "File contains a self signed cert to sign"},
204     {"spkac", OPT_SPKAC, '<',
205      "File contains DN and signed public key and challenge"},
206     {"revoke", OPT_REVOKE, '<', "Revoke a cert (given in file)"},
207     {"valid", OPT_VALID, 's',
208      "Add a Valid(not-revoked) DB entry about a cert (given in file)"},
209     {"extensions", OPT_EXTENSIONS, 's',
210      "Extension section (override value in config file)"},
211     {"extfile", OPT_EXTFILE, '<',
212      "Configuration file with X509v3 extensions to add"},
213     {"status", OPT_STATUS, 's', "Shows cert status given the serial number"},
214     {"updatedb", OPT_UPDATEDB, '-', "Updates db for expired cert"},
215     {"crlexts", OPT_CRLEXTS, 's',
216      "CRL extension section (override value in config file)"},
217     {"crl_reason", OPT_CRL_REASON, 's', "revocation reason"},
218     {"crl_hold", OPT_CRL_HOLD, 's',
219      "the hold instruction, an OID. Sets revocation reason to certificateHold"},
220     {"crl_compromise", OPT_CRL_COMPROMISE, 's',
221      "sets compromise time to val and the revocation reason to keyCompromise"},
222     {"crl_CA_compromise", OPT_CRL_CA_COMPROMISE, 's',
223      "sets compromise time to val and the revocation reason to CACompromise"},
224 #ifndef OPENSSL_NO_ENGINE
225     {"engine", OPT_ENGINE, 's', "Use engine, possibly a hardware device"},
226 #endif
227     {NULL}
228 };
229
230 int ca_main(int argc, char **argv)
231 {
232     CONF *conf = NULL;
233     ENGINE *e = NULL;
234     BIGNUM *crlnumber = NULL, *serial = NULL;
235     EVP_PKEY *pkey = NULL;
236     BIO *in = NULL, *out = NULL, *Sout = NULL;
237     ASN1_INTEGER *tmpser;
238     ASN1_TIME *tmptm;
239     CA_DB *db = NULL;
240     DB_ATTR db_attr;
241     STACK_OF(CONF_VALUE) *attribs = NULL;
242     STACK_OF(OPENSSL_STRING) *sigopts = NULL;
243     STACK_OF(X509) *cert_sk = NULL;
244     X509_CRL *crl = NULL;
245     const EVP_MD *dgst = NULL;
246     char *configfile = default_config_file, *section = NULL;
247     char *md = NULL, *policy = NULL, *keyfile = NULL;
248     char *certfile = NULL, *crl_ext = NULL, *crlnumberfile = NULL, *key = NULL;
249     const char *infile = NULL, *spkac_file = NULL, *ss_cert_file = NULL;
250     const char *extensions = NULL, *extfile = NULL, *passinarg = NULL;
251     char *outdir = NULL, *outfile = NULL, *rev_arg = NULL, *ser_status = NULL;
252     const char *serialfile = NULL, *subj = NULL;
253     char *prog, *startdate = NULL, *enddate = NULL;
254     char *dbfile = NULL, *f, *randfile = NULL;
255     char new_cert[CERT_MAX + 1];
256     char tmp[10 + 1] = "\0";
257     char *const *pp;
258     const char *p;
259     int create_ser = 0, free_key = 0, total = 0, total_done = 0;
260     int batch = 0, default_op = 1, doupdatedb = 0, ext_copy = EXT_COPY_NONE;
261     int keyformat = FORMAT_PEM, multirdn = 0, notext = 0, output_der = 0;
262     int ret = 1, email_dn = 1, req = 0, verbose = 0, gencrl = 0, dorevoke = 0;
263     int i, j, selfsign = 0;
264     long crldays = 0, crlhours = 0, crlsec = 0, days = 0;
265     unsigned long chtype = MBSTRING_ASC, nameopt = 0, certopt = 0;
266     X509 *x509 = NULL, *x509p = NULL, *x = NULL;
267     REVINFO_TYPE rev_type = REV_NONE;
268     X509_REVOKED *r = NULL;
269     OPTION_CHOICE o;
270
271     new_cert[CERT_MAX] = '\0';
272
273     prog = opt_init(argc, argv, ca_options);
274     while ((o = opt_next()) != OPT_EOF) {
275         switch (o) {
276         case OPT_EOF:
277         case OPT_ERR:
278 opthelp:
279             BIO_printf(bio_err, "%s: Use -help for summary.\n", prog);
280             goto end;
281         case OPT_HELP:
282             opt_help(ca_options);
283             ret = 0;
284             goto end;
285         case OPT_IN:
286             req = 1;
287             infile = opt_arg();
288             break;
289         case OPT_OUT:
290             outfile = opt_arg();
291             break;
292         case OPT_VERBOSE:
293             verbose = 1;
294             break;
295         case OPT_CONFIG:
296             configfile = opt_arg();
297             break;
298         case OPT_NAME:
299             section = opt_arg();
300             break;
301         case OPT_SUBJ:
302             subj = opt_arg();
303             /* preserve=1; */
304             break;
305         case OPT_UTF8:
306             chtype = MBSTRING_UTF8;
307             break;
308         case OPT_CREATE_SERIAL:
309             create_ser = 1;
310             break;
311         case OPT_MULTIVALUE_RDN:
312             multirdn = 1;
313             break;
314         case OPT_STARTDATE:
315             startdate = opt_arg();
316             break;
317         case OPT_ENDDATE:
318             enddate = opt_arg();
319             break;
320         case OPT_DAYS:
321             days = atoi(opt_arg());
322             break;
323         case OPT_MD:
324             md = opt_arg();
325             break;
326         case OPT_POLICY:
327             policy = opt_arg();
328             break;
329         case OPT_KEYFILE:
330             keyfile = opt_arg();
331             break;
332         case OPT_KEYFORM:
333             if (!opt_format(opt_arg(), OPT_FMT_ANY, &keyformat))
334                 goto opthelp;
335             break;
336         case OPT_PASSIN:
337             passinarg = opt_arg();
338             break;
339         case OPT_KEY:
340             key = opt_arg();
341             break;
342         case OPT_CERT:
343             certfile = opt_arg();
344             break;
345         case OPT_SELFSIGN:
346             selfsign = 1;
347             break;
348         case OPT_OUTDIR:
349             outdir = opt_arg();
350             break;
351         case OPT_SIGOPT:
352             if (sigopts == NULL)
353                 sigopts = sk_OPENSSL_STRING_new_null();
354             if (sigopts == NULL
355                 || !sk_OPENSSL_STRING_push(sigopts, opt_arg()))
356                 goto end;
357             break;
358         case OPT_NOTEXT:
359             notext = 1;
360             break;
361         case OPT_BATCH:
362             batch = 1;
363             break;
364         case OPT_PRESERVEDN:
365             preserve = 1;
366             break;
367         case OPT_NOEMAILDN:
368             email_dn = 0;
369             break;
370         case OPT_GENCRL:
371             gencrl = 1;
372             break;
373         case OPT_MSIE_HACK:
374             msie_hack = 1;
375             break;
376         case OPT_CRLDAYS:
377             crldays = atol(opt_arg());
378             break;
379         case OPT_CRLHOURS:
380             crlhours = atol(opt_arg());
381             break;
382         case OPT_CRLSEC:
383             crlsec = atol(opt_arg());
384             break;
385         case OPT_INFILES:
386             req = 1;
387             goto end_of_options;
388         case OPT_SS_CERT:
389             ss_cert_file = opt_arg();
390             req = 1;
391             break;
392         case OPT_SPKAC:
393             spkac_file = opt_arg();
394             req = 1;
395             break;
396         case OPT_REVOKE:
397             infile = opt_arg();
398             dorevoke = 1;
399             break;
400         case OPT_VALID:
401             infile = opt_arg();
402             dorevoke = 2;
403             break;
404         case OPT_EXTENSIONS:
405             extensions = opt_arg();
406             break;
407         case OPT_EXTFILE:
408             extfile = opt_arg();
409             break;
410         case OPT_STATUS:
411             ser_status = opt_arg();
412             break;
413         case OPT_UPDATEDB:
414             doupdatedb = 1;
415             break;
416         case OPT_CRLEXTS:
417             crl_ext = opt_arg();
418             break;
419         case OPT_CRL_REASON:        /* := REV_CRL_REASON */
420         case OPT_CRL_HOLD:
421         case OPT_CRL_COMPROMISE:
422         case OPT_CRL_CA_COMPROMISE:
423             rev_arg = opt_arg();
424             rev_type = (o - OPT_CRL_REASON) + REV_CRL_REASON;
425             break;
426         case OPT_ENGINE:
427             e = setup_engine(opt_arg(), 0);
428             break;
429         }
430     }
431 end_of_options:
432     argc = opt_num_rest();
433     argv = opt_rest();
434
435     BIO_printf(bio_err, "Using configuration from %s\n", configfile);
436
437     if ((conf = app_load_config(configfile)) == NULL)
438         goto end;
439     if (configfile != default_config_file && !app_load_modules(conf))
440         goto end;
441
442     /* Lets get the config section we are using */
443     if (section == NULL
444         && (section = lookup_conf(conf, BASE_SECTION, ENV_DEFAULT_CA)) == NULL)
445         goto end;
446
447     if (conf != NULL) {
448         p = NCONF_get_string(conf, NULL, "oid_file");
449         if (p == NULL)
450             ERR_clear_error();
451         if (p != NULL) {
452             BIO *oid_bio;
453
454             oid_bio = BIO_new_file(p, "r");
455             if (oid_bio == NULL) {
456                 /*-
457                 BIO_printf(bio_err,"problems opening %s for extra oid's\n",p);
458                 ERR_print_errors(bio_err);
459                 */
460                 ERR_clear_error();
461             } else {
462                 OBJ_create_objects(oid_bio);
463                 BIO_free(oid_bio);
464             }
465         }
466         if (!add_oid_section(conf)) {
467             ERR_print_errors(bio_err);
468             goto end;
469         }
470     }
471
472     randfile = NCONF_get_string(conf, BASE_SECTION, "RANDFILE");
473     if (randfile == NULL)
474         ERR_clear_error();
475     app_RAND_load_file(randfile, 0);
476
477     f = NCONF_get_string(conf, section, STRING_MASK);
478     if (!f)
479         ERR_clear_error();
480
481     if (f && !ASN1_STRING_set_default_mask_asc(f)) {
482         BIO_printf(bio_err, "Invalid global string mask setting %s\n", f);
483         goto end;
484     }
485
486     if (chtype != MBSTRING_UTF8) {
487         f = NCONF_get_string(conf, section, UTF8_IN);
488         if (!f)
489             ERR_clear_error();
490         else if (strcmp(f, "yes") == 0)
491             chtype = MBSTRING_UTF8;
492     }
493
494     db_attr.unique_subject = 1;
495     p = NCONF_get_string(conf, section, ENV_UNIQUE_SUBJECT);
496     if (p) {
497         db_attr.unique_subject = parse_yesno(p, 1);
498     } else
499         ERR_clear_error();
500
501     /*****************************************************************/
502     /* report status of cert with serial number given on command line */
503     if (ser_status) {
504         dbfile = lookup_conf(conf, section, ENV_DATABASE);
505         if (dbfile == NULL)
506             goto end;
507
508         db = load_index(dbfile, &db_attr);
509         if (db == NULL)
510             goto end;
511
512         if (!index_index(db))
513             goto end;
514
515         if (get_certificate_status(ser_status, db) != 1)
516             BIO_printf(bio_err, "Error verifying serial %s!\n", ser_status);
517         goto end;
518     }
519
520     /*****************************************************************/
521     /* we definitely need a private key, so let's get it */
522
523     if (keyfile == NULL
524         && (keyfile = lookup_conf(conf, section, ENV_PRIVATE_KEY)) == NULL)
525         goto end;
526
527     if (!key) {
528         free_key = 1;
529         if (!app_passwd(passinarg, NULL, &key, NULL)) {
530             BIO_printf(bio_err, "Error getting password\n");
531             goto end;
532         }
533     }
534     pkey = load_key(keyfile, keyformat, 0, key, e, "CA private key");
535     if (key)
536         OPENSSL_cleanse(key, strlen(key));
537     if (pkey == NULL) {
538         /* load_key() has already printed an appropriate message */
539         goto end;
540     }
541
542     /*****************************************************************/
543     /* we need a certificate */
544     if (!selfsign || spkac_file || ss_cert_file || gencrl) {
545         if (certfile == NULL
546             && (certfile = lookup_conf(conf, section, ENV_CERTIFICATE)) == NULL)
547             goto end;
548
549         x509 = load_cert(certfile, FORMAT_PEM, "CA certificate");
550         if (x509 == NULL)
551             goto end;
552
553         if (!X509_check_private_key(x509, pkey)) {
554             BIO_printf(bio_err,
555                        "CA certificate and CA private key do not match\n");
556             goto end;
557         }
558     }
559     if (!selfsign)
560         x509p = x509;
561
562     f = NCONF_get_string(conf, BASE_SECTION, ENV_PRESERVE);
563     if (f == NULL)
564         ERR_clear_error();
565     if ((f != NULL) && ((*f == 'y') || (*f == 'Y')))
566         preserve = 1;
567     f = NCONF_get_string(conf, BASE_SECTION, ENV_MSIE_HACK);
568     if (f == NULL)
569         ERR_clear_error();
570     if ((f != NULL) && ((*f == 'y') || (*f == 'Y')))
571         msie_hack = 1;
572
573     f = NCONF_get_string(conf, section, ENV_NAMEOPT);
574
575     if (f) {
576         if (!set_name_ex(&nameopt, f)) {
577             BIO_printf(bio_err, "Invalid name options: \"%s\"\n", f);
578             goto end;
579         }
580         default_op = 0;
581     } else {
582         nameopt = XN_FLAG_ONELINE;
583         ERR_clear_error();
584     }
585
586     f = NCONF_get_string(conf, section, ENV_CERTOPT);
587
588     if (f) {
589         if (!set_cert_ex(&certopt, f)) {
590             BIO_printf(bio_err, "Invalid certificate options: \"%s\"\n", f);
591             goto end;
592         }
593         default_op = 0;
594     } else
595         ERR_clear_error();
596
597     f = NCONF_get_string(conf, section, ENV_EXTCOPY);
598
599     if (f) {
600         if (!set_ext_copy(&ext_copy, f)) {
601             BIO_printf(bio_err, "Invalid extension copy option: \"%s\"\n", f);
602             goto end;
603         }
604     } else
605         ERR_clear_error();
606
607     /*****************************************************************/
608     /* lookup where to write new certificates */
609     if ((outdir == NULL) && (req)) {
610
611         outdir = NCONF_get_string(conf, section, ENV_NEW_CERTS_DIR);
612         if (outdir == NULL) {
613             BIO_printf(bio_err,
614                        "there needs to be defined a directory for new certificate to be placed in\n");
615             goto end;
616         }
617 #ifndef OPENSSL_SYS_VMS
618         /*
619          * outdir is a directory spec, but access() for VMS demands a
620          * filename.  We could use the DEC C routine to convert the
621          * directory syntax to Unixly, and give that to app_isdir,
622          * but for now the fopen will catch the error if it's not a
623          * directory
624          */
625         if (app_isdir(outdir) <= 0) {
626             BIO_printf(bio_err, "%s: %s is not a directory\n", prog, outdir);
627             perror(outdir);
628             goto end;
629         }
630 #endif
631     }
632
633     /*****************************************************************/
634     /* we need to load the database file */
635     dbfile = lookup_conf(conf, section, ENV_DATABASE);
636     if (dbfile == NULL)
637         goto end;
638
639     db = load_index(dbfile, &db_attr);
640     if (db == NULL)
641         goto end;
642
643     /* Lets check some fields */
644     for (i = 0; i < sk_OPENSSL_PSTRING_num(db->db->data); i++) {
645         pp = sk_OPENSSL_PSTRING_value(db->db->data, i);
646         if ((pp[DB_type][0] != DB_TYPE_REV) && (pp[DB_rev_date][0] != '\0')) {
647             BIO_printf(bio_err,
648                        "entry %d: not revoked yet, but has a revocation date\n",
649                        i + 1);
650             goto end;
651         }
652         if ((pp[DB_type][0] == DB_TYPE_REV) &&
653             !make_revoked(NULL, pp[DB_rev_date])) {
654             BIO_printf(bio_err, " in entry %d\n", i + 1);
655             goto end;
656         }
657         if (!check_time_format((char *)pp[DB_exp_date])) {
658             BIO_printf(bio_err, "entry %d: invalid expiry date\n", i + 1);
659             goto end;
660         }
661         p = pp[DB_serial];
662         j = strlen(p);
663         if (*p == '-') {
664             p++;
665             j--;
666         }
667         if ((j & 1) || (j < 2)) {
668             BIO_printf(bio_err, "entry %d: bad serial number length (%d)\n",
669                        i + 1, j);
670             goto end;
671         }
672         for ( ; *p; p++) {
673             if (!isxdigit(_UC(*p))) {
674                 BIO_printf(bio_err,
675                            "entry %d: bad char 0%o '%c' in serial number\n",
676                            i + 1, *p, *p);
677                 goto end;
678             }
679         }
680     }
681     if (verbose) {
682         TXT_DB_write(bio_out, db->db);
683         BIO_printf(bio_err, "%d entries loaded from the database\n",
684                    sk_OPENSSL_PSTRING_num(db->db->data));
685         BIO_printf(bio_err, "generating index\n");
686     }
687
688     if (!index_index(db))
689         goto end;
690
691     /*****************************************************************/
692     /* Update the db file for expired certificates */
693     if (doupdatedb) {
694         if (verbose)
695             BIO_printf(bio_err, "Updating %s ...\n", dbfile);
696
697         i = do_updatedb(db);
698         if (i == -1) {
699             BIO_printf(bio_err, "Malloc failure\n");
700             goto end;
701         } else if (i == 0) {
702             if (verbose)
703                 BIO_printf(bio_err, "No entries found to mark expired\n");
704         } else {
705             if (!save_index(dbfile, "new", db))
706                 goto end;
707
708             if (!rotate_index(dbfile, "new", "old"))
709                 goto end;
710
711             if (verbose)
712                 BIO_printf(bio_err,
713                            "Done. %d entries marked as expired\n", i);
714         }
715     }
716
717     /*****************************************************************/
718     /* Read extensions config file                                   */
719     if (extfile) {
720         if ((extconf = app_load_config(extfile)) == NULL) {
721             ret = 1;
722             goto end;
723         }
724
725         if (verbose)
726             BIO_printf(bio_err, "Successfully loaded extensions file %s\n",
727                        extfile);
728
729         /* We can have sections in the ext file */
730         if (extensions == NULL) {
731             extensions = NCONF_get_string(extconf, "default", "extensions");
732             if (extensions == NULL)
733                 extensions = "default";
734         }
735     }
736
737     /*****************************************************************/
738     if (req || gencrl) {
739         /* FIXME: Is it really always text? */
740         Sout = bio_open_default(outfile, 'w', FORMAT_TEXT);
741         if (Sout == NULL)
742             goto end;
743     }
744
745     if (md == NULL
746         && (md = lookup_conf(conf, section, ENV_DEFAULT_MD)) == NULL)
747         goto end;
748
749     if (strcmp(md, "default") == 0) {
750         int def_nid;
751         if (EVP_PKEY_get_default_digest_nid(pkey, &def_nid) <= 0) {
752             BIO_puts(bio_err, "no default digest\n");
753             goto end;
754         }
755         md = (char *)OBJ_nid2sn(def_nid);
756     }
757
758     if (!opt_md(md, &dgst)) {
759         goto end;
760     }
761
762     if (req) {
763         if (email_dn == 1) {
764             char *tmp_email_dn = NULL;
765
766             tmp_email_dn = NCONF_get_string(conf, section, ENV_DEFAULT_EMAIL_DN);
767             if (tmp_email_dn != NULL && strcmp(tmp_email_dn, "no") == 0)
768                 email_dn = 0;
769         }
770         if (verbose)
771             BIO_printf(bio_err, "message digest is %s\n",
772                        OBJ_nid2ln(EVP_MD_type(dgst)));
773         if (policy == NULL
774             && (policy = lookup_conf(conf, section, ENV_POLICY)) == NULL)
775             goto end;
776
777         if (verbose)
778             BIO_printf(bio_err, "policy is %s\n", policy);
779
780         serialfile = lookup_conf(conf, section, ENV_SERIAL);
781         if (serialfile == NULL)
782             goto end;
783
784         if (!extconf) {
785             /*
786              * no '-extfile' option, so we look for extensions in the main
787              * configuration file
788              */
789             if (!extensions) {
790                 extensions = NCONF_get_string(conf, section, ENV_EXTENSIONS);
791                 if (!extensions)
792                     ERR_clear_error();
793             }
794             if (extensions) {
795                 /* Check syntax of file */
796                 X509V3_CTX ctx;
797                 X509V3_set_ctx_test(&ctx);
798                 X509V3_set_nconf(&ctx, conf);
799                 if (!X509V3_EXT_add_nconf(conf, &ctx, extensions, NULL)) {
800                     BIO_printf(bio_err,
801                                "Error Loading extension section %s\n",
802                                extensions);
803                     ret = 1;
804                     goto end;
805                 }
806             }
807         }
808
809         if (startdate == NULL) {
810             startdate = NCONF_get_string(conf, section,
811                                          ENV_DEFAULT_STARTDATE);
812             if (startdate == NULL)
813                 ERR_clear_error();
814         }
815         if (startdate && !ASN1_TIME_set_string(NULL, startdate)) {
816             BIO_printf(bio_err,
817                        "start date is invalid, it should be YYMMDDHHMMSSZ or YYYYMMDDHHMMSSZ\n");
818             goto end;
819         }
820         if (startdate == NULL)
821             startdate = "today";
822
823         if (enddate == NULL) {
824             enddate = NCONF_get_string(conf, section, ENV_DEFAULT_ENDDATE);
825             if (enddate == NULL)
826                 ERR_clear_error();
827         }
828         if (enddate && !ASN1_TIME_set_string(NULL, enddate)) {
829             BIO_printf(bio_err,
830                        "end date is invalid, it should be YYMMDDHHMMSSZ or YYYYMMDDHHMMSSZ\n");
831             goto end;
832         }
833
834         if (days == 0) {
835             if (!NCONF_get_number(conf, section, ENV_DEFAULT_DAYS, &days))
836                 days = 0;
837         }
838         if (!enddate && (days == 0)) {
839             BIO_printf(bio_err,
840                        "cannot lookup how many days to certify for\n");
841             goto end;
842         }
843
844         if ((serial = load_serial(serialfile, create_ser, NULL)) == NULL) {
845             BIO_printf(bio_err, "error while loading serial number\n");
846             goto end;
847         }
848         if (verbose) {
849             if (BN_is_zero(serial))
850                 BIO_printf(bio_err, "next serial number is 00\n");
851             else {
852                 if ((f = BN_bn2hex(serial)) == NULL)
853                     goto end;
854                 BIO_printf(bio_err, "next serial number is %s\n", f);
855                 OPENSSL_free(f);
856             }
857         }
858
859         if ((attribs = NCONF_get_section(conf, policy)) == NULL) {
860             BIO_printf(bio_err, "unable to find 'section' for %s\n", policy);
861             goto end;
862         }
863
864         if ((cert_sk = sk_X509_new_null()) == NULL) {
865             BIO_printf(bio_err, "Memory allocation failure\n");
866             goto end;
867         }
868         if (spkac_file != NULL) {
869             total++;
870             j = certify_spkac(&x, spkac_file, pkey, x509, dgst, sigopts,
871                               attribs, db, serial, subj, chtype, multirdn,
872                               email_dn, startdate, enddate, days, extensions,
873                               conf, verbose, certopt, nameopt, default_op,
874                               ext_copy);
875             if (j < 0)
876                 goto end;
877             if (j > 0) {
878                 total_done++;
879                 BIO_printf(bio_err, "\n");
880                 if (!BN_add_word(serial, 1))
881                     goto end;
882                 if (!sk_X509_push(cert_sk, x)) {
883                     BIO_printf(bio_err, "Memory allocation failure\n");
884                     goto end;
885                 }
886                 if (outfile) {
887                     output_der = 1;
888                     batch = 1;
889                 }
890             }
891         }
892         if (ss_cert_file != NULL) {
893             total++;
894             j = certify_cert(&x, ss_cert_file, pkey, x509, dgst, sigopts,
895                              attribs,
896                              db, serial, subj, chtype, multirdn, email_dn,
897                              startdate, enddate, days, batch, extensions,
898                              conf, verbose, certopt, nameopt, default_op,
899                              ext_copy);
900             if (j < 0)
901                 goto end;
902             if (j > 0) {
903                 total_done++;
904                 BIO_printf(bio_err, "\n");
905                 if (!BN_add_word(serial, 1))
906                     goto end;
907                 if (!sk_X509_push(cert_sk, x)) {
908                     BIO_printf(bio_err, "Memory allocation failure\n");
909                     goto end;
910                 }
911             }
912         }
913         if (infile != NULL) {
914             total++;
915             j = certify(&x, infile, pkey, x509p, dgst, sigopts, attribs, db,
916                         serial, subj, chtype, multirdn, email_dn, startdate,
917                         enddate, days, batch, extensions, conf, verbose,
918                         certopt, nameopt, default_op, ext_copy, selfsign);
919             if (j < 0)
920                 goto end;
921             if (j > 0) {
922                 total_done++;
923                 BIO_printf(bio_err, "\n");
924                 if (!BN_add_word(serial, 1))
925                     goto end;
926                 if (!sk_X509_push(cert_sk, x)) {
927                     BIO_printf(bio_err, "Memory allocation failure\n");
928                     goto end;
929                 }
930             }
931         }
932         for (i = 0; i < argc; i++) {
933             total++;
934             j = certify(&x, argv[i], pkey, x509p, dgst, sigopts, attribs, db,
935                         serial, subj, chtype, multirdn, email_dn, startdate,
936                         enddate, days, batch, extensions, conf, verbose,
937                         certopt, nameopt, default_op, ext_copy, selfsign);
938             if (j < 0)
939                 goto end;
940             if (j > 0) {
941                 total_done++;
942                 BIO_printf(bio_err, "\n");
943                 if (!BN_add_word(serial, 1))
944                     goto end;
945                 if (!sk_X509_push(cert_sk, x)) {
946                     BIO_printf(bio_err, "Memory allocation failure\n");
947                     goto end;
948                 }
949             }
950         }
951         /*
952          * we have a stack of newly certified certificates and a data base
953          * and serial number that need updating
954          */
955
956         if (sk_X509_num(cert_sk) > 0) {
957             if (!batch) {
958                 BIO_printf(bio_err,
959                            "\n%d out of %d certificate requests certified, commit? [y/n]",
960                            total_done, total);
961                 (void)BIO_flush(bio_err);
962                 tmp[0] = '\0';
963                 if (fgets(tmp, sizeof(tmp), stdin) == NULL) {
964                     BIO_printf(bio_err,
965                                "CERTIFICATION CANCELED: I/O error\n");
966                     ret = 0;
967                     goto end;
968                 }
969                 if (tmp[0] != 'y' && tmp[0] != 'Y') {
970                     BIO_printf(bio_err, "CERTIFICATION CANCELED\n");
971                     ret = 0;
972                     goto end;
973                 }
974             }
975
976             BIO_printf(bio_err, "Write out database with %d new entries\n",
977                        sk_X509_num(cert_sk));
978
979             if (!save_serial(serialfile, "new", serial, NULL))
980                 goto end;
981
982             if (!save_index(dbfile, "new", db))
983                 goto end;
984         }
985
986         if (verbose)
987             BIO_printf(bio_err, "writing new certificates\n");
988         for (i = 0; i < sk_X509_num(cert_sk); i++) {
989             BIO *Cout = NULL;
990             ASN1_INTEGER *serialNumber = X509_get_serialNumber(x);
991             int k;
992             char *n;
993
994             x = sk_X509_value(cert_sk, i);
995
996             j = ASN1_STRING_length(serialNumber);
997             p = (const char *)ASN1_STRING_get0_data(serialNumber);
998
999             if (strlen(outdir) >= (size_t)(j ? CERT_MAX - j * 2 - 6 : CERT_MAX - 8)) {
1000                 BIO_printf(bio_err, "certificate file name too long\n");
1001                 goto end;
1002             }
1003
1004             strcpy(new_cert, outdir);
1005 #ifndef OPENSSL_SYS_VMS
1006             OPENSSL_strlcat(new_cert, "/", sizeof(new_cert));
1007 #endif
1008
1009             n = (char *)&(new_cert[strlen(new_cert)]);
1010             if (j > 0) {
1011                 for (k = 0; k < j; k++) {
1012                     if (n >= &(new_cert[sizeof(new_cert)]))
1013                         break;
1014                     BIO_snprintf(n,
1015                                  &new_cert[0] + sizeof(new_cert) - n,
1016                                  "%02X", (unsigned char)*(p++));
1017                     n += 2;
1018                 }
1019             } else {
1020                 *(n++) = '0';
1021                 *(n++) = '0';
1022             }
1023             *(n++) = '.';
1024             *(n++) = 'p';
1025             *(n++) = 'e';
1026             *(n++) = 'm';
1027             *n = '\0';
1028             if (verbose)
1029                 BIO_printf(bio_err, "writing %s\n", new_cert);
1030
1031             Cout = BIO_new_file(new_cert, "w");
1032             if (Cout == NULL) {
1033                 perror(new_cert);
1034                 goto end;
1035             }
1036             write_new_certificate(Cout, x, 0, notext);
1037             write_new_certificate(Sout, x, output_der, notext);
1038             BIO_free_all(Cout);
1039         }
1040
1041         if (sk_X509_num(cert_sk)) {
1042             /* Rename the database and the serial file */
1043             if (!rotate_serial(serialfile, "new", "old"))
1044                 goto end;
1045
1046             if (!rotate_index(dbfile, "new", "old"))
1047                 goto end;
1048
1049             BIO_printf(bio_err, "Data Base Updated\n");
1050         }
1051     }
1052
1053     /*****************************************************************/
1054     if (gencrl) {
1055         int crl_v2 = 0;
1056         if (!crl_ext) {
1057             crl_ext = NCONF_get_string(conf, section, ENV_CRLEXT);
1058             if (!crl_ext)
1059                 ERR_clear_error();
1060         }
1061         if (crl_ext) {
1062             /* Check syntax of file */
1063             X509V3_CTX ctx;
1064             X509V3_set_ctx_test(&ctx);
1065             X509V3_set_nconf(&ctx, conf);
1066             if (!X509V3_EXT_add_nconf(conf, &ctx, crl_ext, NULL)) {
1067                 BIO_printf(bio_err,
1068                            "Error Loading CRL extension section %s\n",
1069                            crl_ext);
1070                 ret = 1;
1071                 goto end;
1072             }
1073         }
1074
1075         if ((crlnumberfile = NCONF_get_string(conf, section, ENV_CRLNUMBER))
1076             != NULL)
1077             if ((crlnumber = load_serial(crlnumberfile, 0, NULL)) == NULL) {
1078                 BIO_printf(bio_err, "error while loading CRL number\n");
1079                 goto end;
1080             }
1081
1082         if (!crldays && !crlhours && !crlsec) {
1083             if (!NCONF_get_number(conf, section,
1084                                   ENV_DEFAULT_CRL_DAYS, &crldays))
1085                 crldays = 0;
1086             if (!NCONF_get_number(conf, section,
1087                                   ENV_DEFAULT_CRL_HOURS, &crlhours))
1088                 crlhours = 0;
1089             ERR_clear_error();
1090         }
1091         if ((crldays == 0) && (crlhours == 0) && (crlsec == 0)) {
1092             BIO_printf(bio_err,
1093                        "cannot lookup how long until the next CRL is issued\n");
1094             goto end;
1095         }
1096
1097         if (verbose)
1098             BIO_printf(bio_err, "making CRL\n");
1099         if ((crl = X509_CRL_new()) == NULL)
1100             goto end;
1101         if (!X509_CRL_set_issuer_name(crl, X509_get_subject_name(x509)))
1102             goto end;
1103
1104         tmptm = ASN1_TIME_new();
1105         if (tmptm == NULL)
1106             goto end;
1107         X509_gmtime_adj(tmptm, 0);
1108         X509_CRL_set1_lastUpdate(crl, tmptm);
1109         if (!X509_time_adj_ex(tmptm, crldays, crlhours * 60 * 60 + crlsec,
1110                               NULL)) {
1111             BIO_puts(bio_err, "error setting CRL nextUpdate\n");
1112             goto end;
1113         }
1114         X509_CRL_set1_nextUpdate(crl, tmptm);
1115
1116         ASN1_TIME_free(tmptm);
1117
1118         for (i = 0; i < sk_OPENSSL_PSTRING_num(db->db->data); i++) {
1119             pp = sk_OPENSSL_PSTRING_value(db->db->data, i);
1120             if (pp[DB_type][0] == DB_TYPE_REV) {
1121                 if ((r = X509_REVOKED_new()) == NULL)
1122                     goto end;
1123                 j = make_revoked(r, pp[DB_rev_date]);
1124                 if (!j)
1125                     goto end;
1126                 if (j == 2)
1127                     crl_v2 = 1;
1128                 if (!BN_hex2bn(&serial, pp[DB_serial]))
1129                     goto end;
1130                 tmpser = BN_to_ASN1_INTEGER(serial, NULL);
1131                 BN_free(serial);
1132                 serial = NULL;
1133                 if (!tmpser)
1134                     goto end;
1135                 X509_REVOKED_set_serialNumber(r, tmpser);
1136                 ASN1_INTEGER_free(tmpser);
1137                 X509_CRL_add0_revoked(crl, r);
1138             }
1139         }
1140
1141         /*
1142          * sort the data so it will be written in serial number order
1143          */
1144         X509_CRL_sort(crl);
1145
1146         /* we now have a CRL */
1147         if (verbose)
1148             BIO_printf(bio_err, "signing CRL\n");
1149
1150         /* Add any extensions asked for */
1151
1152         if (crl_ext || crlnumberfile != NULL) {
1153             X509V3_CTX crlctx;
1154             X509V3_set_ctx(&crlctx, x509, NULL, NULL, crl, 0);
1155             X509V3_set_nconf(&crlctx, conf);
1156
1157             if (crl_ext)
1158                 if (!X509V3_EXT_CRL_add_nconf(conf, &crlctx, crl_ext, crl))
1159                     goto end;
1160             if (crlnumberfile != NULL) {
1161                 tmpser = BN_to_ASN1_INTEGER(crlnumber, NULL);
1162                 if (!tmpser)
1163                     goto end;
1164                 X509_CRL_add1_ext_i2d(crl, NID_crl_number, tmpser, 0, 0);
1165                 ASN1_INTEGER_free(tmpser);
1166                 crl_v2 = 1;
1167                 if (!BN_add_word(crlnumber, 1))
1168                     goto end;
1169             }
1170         }
1171         if (crl_ext || crl_v2) {
1172             if (!X509_CRL_set_version(crl, 1))
1173                 goto end;       /* version 2 CRL */
1174         }
1175
1176         /* we have a CRL number that need updating */
1177         if (crlnumberfile != NULL)
1178             if (!save_serial(crlnumberfile, "new", crlnumber, NULL))
1179                 goto end;
1180
1181         BN_free(crlnumber);
1182         crlnumber = NULL;
1183
1184         if (!do_X509_CRL_sign(crl, pkey, dgst, sigopts))
1185             goto end;
1186
1187         PEM_write_bio_X509_CRL(Sout, crl);
1188
1189         if (crlnumberfile != NULL) /* Rename the crlnumber file */
1190             if (!rotate_serial(crlnumberfile, "new", "old"))
1191                 goto end;
1192
1193     }
1194     /*****************************************************************/
1195     if (dorevoke) {
1196         if (infile == NULL) {
1197             BIO_printf(bio_err, "no input files\n");
1198             goto end;
1199         } else {
1200             X509 *revcert;
1201             revcert = load_cert(infile, FORMAT_PEM, infile);
1202             if (revcert == NULL)
1203                 goto end;
1204             if (dorevoke == 2)
1205                 rev_type = REV_VALID;
1206             j = do_revoke(revcert, db, rev_type, rev_arg);
1207             if (j <= 0)
1208                 goto end;
1209             X509_free(revcert);
1210
1211             if (!save_index(dbfile, "new", db))
1212                 goto end;
1213
1214             if (!rotate_index(dbfile, "new", "old"))
1215                 goto end;
1216
1217             BIO_printf(bio_err, "Data Base Updated\n");
1218         }
1219     }
1220     /*****************************************************************/
1221     ret = 0;
1222  end:
1223     BIO_free_all(Sout);
1224     BIO_free_all(out);
1225     BIO_free_all(in);
1226     sk_X509_pop_free(cert_sk, X509_free);
1227
1228     if (ret)
1229         ERR_print_errors(bio_err);
1230     app_RAND_write_file(randfile);
1231     if (free_key)
1232         OPENSSL_free(key);
1233     BN_free(serial);
1234     BN_free(crlnumber);
1235     free_index(db);
1236     sk_OPENSSL_STRING_free(sigopts);
1237     EVP_PKEY_free(pkey);
1238     X509_free(x509);
1239     X509_CRL_free(crl);
1240     NCONF_free(conf);
1241     NCONF_free(extconf);
1242     release_engine(e);
1243     return (ret);
1244 }
1245
1246 static char *lookup_conf(const CONF *conf, const char *section, const char *tag)
1247 {
1248     char *entry = NCONF_get_string(conf, section, tag);
1249     if (entry == NULL)
1250         BIO_printf(bio_err, "variable lookup failed for %s::%s\n", section, tag);
1251     return entry;
1252 }
1253
1254 static int certify(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
1255                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
1256                    STACK_OF(CONF_VALUE) *policy, CA_DB *db,
1257                    BIGNUM *serial, const char *subj, unsigned long chtype,
1258                    int multirdn, int email_dn, const char *startdate,
1259                    const char *enddate,
1260                    long days, int batch, const char *ext_sect, CONF *lconf,
1261                    int verbose, unsigned long certopt, unsigned long nameopt,
1262                    int default_op, int ext_copy, int selfsign)
1263 {
1264     X509_REQ *req = NULL;
1265     BIO *in = NULL;
1266     EVP_PKEY *pktmp = NULL;
1267     int ok = -1, i;
1268
1269     in = BIO_new_file(infile, "r");
1270     if (in == NULL) {
1271         ERR_print_errors(bio_err);
1272         goto end;
1273     }
1274     if ((req = PEM_read_bio_X509_REQ(in, NULL, NULL, NULL)) == NULL) {
1275         BIO_printf(bio_err, "Error reading certificate request in %s\n",
1276                    infile);
1277         goto end;
1278     }
1279     if (verbose)
1280         X509_REQ_print(bio_err, req);
1281
1282     BIO_printf(bio_err, "Check that the request matches the signature\n");
1283
1284     if (selfsign && !X509_REQ_check_private_key(req, pkey)) {
1285         BIO_printf(bio_err,
1286                    "Certificate request and CA private key do not match\n");
1287         ok = 0;
1288         goto end;
1289     }
1290     if ((pktmp = X509_REQ_get0_pubkey(req)) == NULL) {
1291         BIO_printf(bio_err, "error unpacking public key\n");
1292         goto end;
1293     }
1294     i = X509_REQ_verify(req, pktmp);
1295     pktmp = NULL;
1296     if (i < 0) {
1297         ok = 0;
1298         BIO_printf(bio_err, "Signature verification problems....\n");
1299         ERR_print_errors(bio_err);
1300         goto end;
1301     }
1302     if (i == 0) {
1303         ok = 0;
1304         BIO_printf(bio_err,
1305                    "Signature did not match the certificate request\n");
1306         ERR_print_errors(bio_err);
1307         goto end;
1308     } else
1309         BIO_printf(bio_err, "Signature ok\n");
1310
1311     ok = do_body(xret, pkey, x509, dgst, sigopts, policy, db, serial, subj,
1312                  chtype, multirdn, email_dn, startdate, enddate, days, batch,
1313                  verbose, req, ext_sect, lconf, certopt, nameopt, default_op,
1314                  ext_copy, selfsign);
1315
1316  end:
1317     X509_REQ_free(req);
1318     BIO_free(in);
1319     return (ok);
1320 }
1321
1322 static int certify_cert(X509 **xret, const char *infile, EVP_PKEY *pkey, X509 *x509,
1323                         const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
1324                         STACK_OF(CONF_VALUE) *policy, CA_DB *db,
1325                         BIGNUM *serial, const char *subj, unsigned long chtype,
1326                         int multirdn, int email_dn, const char *startdate,
1327                         const char *enddate, long days, int batch, const char *ext_sect,
1328                         CONF *lconf, int verbose, unsigned long certopt,
1329                         unsigned long nameopt, int default_op, int ext_copy)
1330 {
1331     X509 *req = NULL;
1332     X509_REQ *rreq = NULL;
1333     EVP_PKEY *pktmp = NULL;
1334     int ok = -1, i;
1335
1336     if ((req = load_cert(infile, FORMAT_PEM, infile)) == NULL)
1337         goto end;
1338     if (verbose)
1339         X509_print(bio_err, req);
1340
1341     BIO_printf(bio_err, "Check that the request matches the signature\n");
1342
1343     if ((pktmp = X509_get0_pubkey(req)) == NULL) {
1344         BIO_printf(bio_err, "error unpacking public key\n");
1345         goto end;
1346     }
1347     i = X509_verify(req, pktmp);
1348     if (i < 0) {
1349         ok = 0;
1350         BIO_printf(bio_err, "Signature verification problems....\n");
1351         goto end;
1352     }
1353     if (i == 0) {
1354         ok = 0;
1355         BIO_printf(bio_err, "Signature did not match the certificate\n");
1356         goto end;
1357     } else
1358         BIO_printf(bio_err, "Signature ok\n");
1359
1360     if ((rreq = X509_to_X509_REQ(req, NULL, NULL)) == NULL)
1361         goto end;
1362
1363     ok = do_body(xret, pkey, x509, dgst, sigopts, policy, db, serial, subj,
1364                  chtype, multirdn, email_dn, startdate, enddate, days, batch,
1365                  verbose, rreq, ext_sect, lconf, certopt, nameopt, default_op,
1366                  ext_copy, 0);
1367
1368  end:
1369     X509_REQ_free(rreq);
1370     X509_free(req);
1371     return (ok);
1372 }
1373
1374 static int do_body(X509 **xret, EVP_PKEY *pkey, X509 *x509,
1375                    const EVP_MD *dgst, STACK_OF(OPENSSL_STRING) *sigopts,
1376                    STACK_OF(CONF_VALUE) *policy, CA_DB *db, BIGNUM *serial,
1377                    const char *subj, unsigned long chtype, int multirdn,
1378                    int email_dn, const char *startdate, const char *enddate, long days,
1379                    int batch, int verbose, X509_REQ *req, const char *ext_sect,
1380                    CONF *lconf, unsigned long certopt, unsigned long nameopt,
1381                    int default_op, int ext_copy, int selfsign)
1382 {
1383     X509_NAME *name = NULL, *CAname = NULL, *subject = NULL, *dn_subject =
1384         NULL;
1385     const ASN1_TIME *tm;
1386     ASN1_STRING *str, *str2;
1387     ASN1_OBJECT *obj;
1388     X509 *ret = NULL;
1389     X509_NAME_ENTRY *ne;
1390     X509_NAME_ENTRY *tne, *push;
1391     EVP_PKEY *pktmp;
1392     int ok = -1, i, j, last, nid;
1393     const char *p;
1394     CONF_VALUE *cv;
1395     OPENSSL_STRING row[DB_NUMBER];
1396     OPENSSL_STRING *irow = NULL;
1397     OPENSSL_STRING *rrow = NULL;
1398     char buf[25];
1399
1400     for (i = 0; i < DB_NUMBER; i++)
1401         row[i] = NULL;
1402
1403     if (subj) {
1404         X509_NAME *n = parse_name(subj, chtype, multirdn);
1405
1406         if (!n) {
1407             ERR_print_errors(bio_err);
1408             goto end;
1409         }
1410         X509_REQ_set_subject_name(req, n);
1411         X509_NAME_free(n);
1412     }
1413
1414     if (default_op)
1415         BIO_printf(bio_err,
1416                    "The Subject's Distinguished Name is as follows\n");
1417
1418     name = X509_REQ_get_subject_name(req);
1419     for (i = 0; i < X509_NAME_entry_count(name); i++) {
1420         ne = X509_NAME_get_entry(name, i);
1421         str = X509_NAME_ENTRY_get_data(ne);
1422         obj = X509_NAME_ENTRY_get_object(ne);
1423
1424         if (msie_hack) {
1425             /* assume all type should be strings */
1426             nid = OBJ_obj2nid(X509_NAME_ENTRY_get_object(ne));
1427
1428             if (str->type == V_ASN1_UNIVERSALSTRING)
1429                 ASN1_UNIVERSALSTRING_to_string(str);
1430
1431             if ((str->type == V_ASN1_IA5STRING) &&
1432                 (nid != NID_pkcs9_emailAddress))
1433                 str->type = V_ASN1_T61STRING;
1434
1435             if ((nid == NID_pkcs9_emailAddress) &&
1436                 (str->type == V_ASN1_PRINTABLESTRING))
1437                 str->type = V_ASN1_IA5STRING;
1438         }
1439
1440         /* If no EMAIL is wanted in the subject */
1441         if ((OBJ_obj2nid(obj) == NID_pkcs9_emailAddress) && (!email_dn))
1442             continue;
1443
1444         /* check some things */
1445         if ((OBJ_obj2nid(obj) == NID_pkcs9_emailAddress) &&
1446             (str->type != V_ASN1_IA5STRING)) {
1447             BIO_printf(bio_err,
1448                        "\nemailAddress type needs to be of type IA5STRING\n");
1449             goto end;
1450         }
1451         if ((str->type != V_ASN1_BMPSTRING)
1452             && (str->type != V_ASN1_UTF8STRING)) {
1453             j = ASN1_PRINTABLE_type(str->data, str->length);
1454             if (((j == V_ASN1_T61STRING) &&
1455                  (str->type != V_ASN1_T61STRING)) ||
1456                 ((j == V_ASN1_IA5STRING) &&
1457                  (str->type == V_ASN1_PRINTABLESTRING))) {
1458                 BIO_printf(bio_err,
1459                            "\nThe string contains characters that are illegal for the ASN.1 type\n");
1460                 goto end;
1461             }
1462         }
1463
1464         if (default_op)
1465             old_entry_print(obj, str);
1466     }
1467
1468     /* Ok, now we check the 'policy' stuff. */
1469     if ((subject = X509_NAME_new()) == NULL) {
1470         BIO_printf(bio_err, "Memory allocation failure\n");
1471         goto end;
1472     }
1473
1474     /* take a copy of the issuer name before we mess with it. */
1475     if (selfsign)
1476         CAname = X509_NAME_dup(name);
1477     else
1478         CAname = X509_NAME_dup(X509_get_subject_name(x509));
1479     if (CAname == NULL)
1480         goto end;
1481     str = str2 = NULL;
1482
1483     for (i = 0; i < sk_CONF_VALUE_num(policy); i++) {
1484         cv = sk_CONF_VALUE_value(policy, i); /* get the object id */
1485         if ((j = OBJ_txt2nid(cv->name)) == NID_undef) {
1486             BIO_printf(bio_err,
1487                        "%s:unknown object type in 'policy' configuration\n",
1488                        cv->name);
1489             goto end;
1490         }
1491         obj = OBJ_nid2obj(j);
1492
1493         last = -1;
1494         for (;;) {
1495             /* lookup the object in the supplied name list */
1496             j = X509_NAME_get_index_by_OBJ(name, obj, last);
1497             if (j < 0) {
1498                 if (last != -1)
1499                     break;
1500                 tne = NULL;
1501             } else {
1502                 tne = X509_NAME_get_entry(name, j);
1503             }
1504             last = j;
1505
1506             /* depending on the 'policy', decide what to do. */
1507             push = NULL;
1508             if (strcmp(cv->value, "optional") == 0) {
1509                 if (tne != NULL)
1510                     push = tne;
1511             } else if (strcmp(cv->value, "supplied") == 0) {
1512                 if (tne == NULL) {
1513                     BIO_printf(bio_err,
1514                                "The %s field needed to be supplied and was missing\n",
1515                                cv->name);
1516                     goto end;
1517                 } else
1518                     push = tne;
1519             } else if (strcmp(cv->value, "match") == 0) {
1520                 int last2;
1521
1522                 if (tne == NULL) {
1523                     BIO_printf(bio_err,
1524                                "The mandatory %s field was missing\n",
1525                                cv->name);
1526                     goto end;
1527                 }
1528
1529                 last2 = -1;
1530
1531  again2:
1532                 j = X509_NAME_get_index_by_OBJ(CAname, obj, last2);
1533                 if ((j < 0) && (last2 == -1)) {
1534                     BIO_printf(bio_err,
1535                                "The %s field does not exist in the CA certificate,\n"
1536                                "the 'policy' is misconfigured\n",
1537                                cv->name);
1538                     goto end;
1539                 }
1540                 if (j >= 0) {
1541                     push = X509_NAME_get_entry(CAname, j);
1542                     str = X509_NAME_ENTRY_get_data(tne);
1543                     str2 = X509_NAME_ENTRY_get_data(push);
1544                     last2 = j;
1545                     if (ASN1_STRING_cmp(str, str2) != 0)
1546                         goto again2;
1547                 }
1548                 if (j < 0) {
1549                     BIO_printf(bio_err,
1550                                "The %s field is different between\n"
1551                                "CA certificate (%s) and the request (%s)\n",
1552                                cv->name,
1553                                ((str2 == NULL) ? "NULL" : (char *)str2->data),
1554                                ((str == NULL) ? "NULL" : (char *)str->data));
1555                     goto end;
1556                 }
1557             } else {
1558                 BIO_printf(bio_err,
1559                            "%s:invalid type in 'policy' configuration\n",
1560                            cv->value);
1561                 goto end;
1562             }
1563
1564             if (push != NULL) {
1565                 if (!X509_NAME_add_entry(subject, push, -1, 0)) {
1566                     X509_NAME_ENTRY_free(push);
1567                     BIO_printf(bio_err, "Memory allocation failure\n");
1568                     goto end;
1569                 }
1570             }
1571             if (j < 0)
1572                 break;
1573         }
1574     }
1575
1576     if (preserve) {
1577         X509_NAME_free(subject);
1578         /* subject=X509_NAME_dup(X509_REQ_get_subject_name(req)); */
1579         subject = X509_NAME_dup(name);
1580         if (subject == NULL)
1581             goto end;
1582     }
1583
1584     if (verbose)
1585         BIO_printf(bio_err,
1586                    "The subject name appears to be ok, checking data base for clashes\n");
1587
1588     /* Build the correct Subject if no e-mail is wanted in the subject */
1589     /*
1590      * and add it later on because of the method extensions are added
1591      * (altName)
1592      */
1593
1594     if (email_dn)
1595         dn_subject = subject;
1596     else {
1597         X509_NAME_ENTRY *tmpne;
1598         /*
1599          * Its best to dup the subject DN and then delete any email addresses
1600          * because this retains its structure.
1601          */
1602         if ((dn_subject = X509_NAME_dup(subject)) == NULL) {
1603             BIO_printf(bio_err, "Memory allocation failure\n");
1604             goto end;
1605         }
1606         while ((i = X509_NAME_get_index_by_NID(dn_subject,
1607                                                NID_pkcs9_emailAddress,
1608                                                -1)) >= 0) {
1609             tmpne = X509_NAME_get_entry(dn_subject, i);
1610             X509_NAME_delete_entry(dn_subject, i);
1611             X509_NAME_ENTRY_free(tmpne);
1612         }
1613     }
1614
1615     if (BN_is_zero(serial))
1616         row[DB_serial] = OPENSSL_strdup("00");
1617     else
1618         row[DB_serial] = BN_bn2hex(serial);
1619     if (row[DB_serial] == NULL) {
1620         BIO_printf(bio_err, "Memory allocation failure\n");
1621         goto end;
1622     }
1623
1624     if (db->attributes.unique_subject) {
1625         OPENSSL_STRING *crow = row;
1626
1627         rrow = TXT_DB_get_by_index(db->db, DB_name, crow);
1628         if (rrow != NULL) {
1629             BIO_printf(bio_err,
1630                        "ERROR:There is already a certificate for %s\n",
1631                        row[DB_name]);
1632         }
1633     }
1634     if (rrow == NULL) {
1635         rrow = TXT_DB_get_by_index(db->db, DB_serial, row);
1636         if (rrow != NULL) {
1637             BIO_printf(bio_err,
1638                        "ERROR:Serial number %s has already been issued,\n",
1639                        row[DB_serial]);
1640             BIO_printf(bio_err,
1641                        "      check the database/serial_file for corruption\n");
1642         }
1643     }
1644
1645     if (rrow != NULL) {
1646         BIO_printf(bio_err, "The matching entry has the following details\n");
1647         if (rrow[DB_type][0] == DB_TYPE_EXP)
1648             p = "Expired";
1649         else if (rrow[DB_type][0] == DB_TYPE_REV)
1650             p = "Revoked";
1651         else if (rrow[DB_type][0] == DB_TYPE_VAL)
1652             p = "Valid";
1653         else
1654             p = "\ninvalid type, Data base error\n";
1655         BIO_printf(bio_err, "Type          :%s\n", p);;
1656         if (rrow[DB_type][0] == DB_TYPE_REV) {
1657             p = rrow[DB_exp_date];
1658             if (p == NULL)
1659                 p = "undef";
1660             BIO_printf(bio_err, "Was revoked on:%s\n", p);
1661         }
1662         p = rrow[DB_exp_date];
1663         if (p == NULL)
1664             p = "undef";
1665         BIO_printf(bio_err, "Expires on    :%s\n", p);
1666         p = rrow[DB_serial];
1667         if (p == NULL)
1668             p = "undef";
1669         BIO_printf(bio_err, "Serial Number :%s\n", p);
1670         p = rrow[DB_file];
1671         if (p == NULL)
1672             p = "undef";
1673         BIO_printf(bio_err, "File name     :%s\n", p);
1674         p = rrow[DB_name];
1675         if (p == NULL)
1676             p = "undef";
1677         BIO_printf(bio_err, "Subject Name  :%s\n", p);
1678         ok = -1;                /* This is now a 'bad' error. */
1679         goto end;
1680     }
1681
1682     /* We are now totally happy, lets make and sign the certificate */
1683     if (verbose)
1684         BIO_printf(bio_err,
1685                    "Everything appears to be ok, creating and signing the certificate\n");
1686
1687     if ((ret = X509_new()) == NULL)
1688         goto end;
1689
1690 #ifdef X509_V3
1691     /* Make it an X509 v3 certificate. */
1692     if (!X509_set_version(ret, 2))
1693         goto end;
1694 #endif
1695
1696     if (BN_to_ASN1_INTEGER(serial, X509_get_serialNumber(ret)) == NULL)
1697         goto end;
1698     if (selfsign) {
1699         if (!X509_set_issuer_name(ret, subject))
1700             goto end;
1701     } else {
1702         if (!X509_set_issuer_name(ret, X509_get_subject_name(x509)))
1703             goto end;
1704     }
1705
1706     if (!set_cert_times(ret, startdate, enddate, days))
1707         goto end;
1708
1709     if (enddate != NULL) {
1710         int tdays;
1711         ASN1_TIME_diff(&tdays, NULL, NULL, X509_get0_notAfter(ret));
1712         days = tdays;
1713     }
1714
1715     if (!X509_set_subject_name(ret, subject))
1716         goto end;
1717
1718     pktmp = X509_REQ_get0_pubkey(req);
1719     i = X509_set_pubkey(ret, pktmp);
1720     if (!i)
1721         goto end;
1722
1723     /* Lets add the extensions, if there are any */
1724     if (ext_sect) {
1725         X509V3_CTX ctx;
1726         X509_set_version(ret, 2);
1727
1728         /* Initialize the context structure */
1729         if (selfsign)
1730             X509V3_set_ctx(&ctx, ret, ret, req, NULL, 0);
1731         else
1732             X509V3_set_ctx(&ctx, x509, ret, req, NULL, 0);
1733
1734         if (extconf) {
1735             if (verbose)
1736                 BIO_printf(bio_err, "Extra configuration file found\n");
1737
1738             /* Use the extconf configuration db LHASH */
1739             X509V3_set_nconf(&ctx, extconf);
1740
1741             /* Test the structure (needed?) */
1742             /* X509V3_set_ctx_test(&ctx); */
1743
1744             /* Adds exts contained in the configuration file */
1745             if (!X509V3_EXT_add_nconf(extconf, &ctx, ext_sect, ret)) {
1746                 BIO_printf(bio_err,
1747                            "ERROR: adding extensions in section %s\n",
1748                            ext_sect);
1749                 ERR_print_errors(bio_err);
1750                 goto end;
1751             }
1752             if (verbose)
1753                 BIO_printf(bio_err,
1754                            "Successfully added extensions from file.\n");
1755         } else if (ext_sect) {
1756             /* We found extensions to be set from config file */
1757             X509V3_set_nconf(&ctx, lconf);
1758
1759             if (!X509V3_EXT_add_nconf(lconf, &ctx, ext_sect, ret)) {
1760                 BIO_printf(bio_err,
1761                            "ERROR: adding extensions in section %s\n",
1762                            ext_sect);
1763                 ERR_print_errors(bio_err);
1764                 goto end;
1765             }
1766
1767             if (verbose)
1768                 BIO_printf(bio_err,
1769                            "Successfully added extensions from config\n");
1770         }
1771     }
1772
1773     /* Copy extensions from request (if any) */
1774
1775     if (!copy_extensions(ret, req, ext_copy)) {
1776         BIO_printf(bio_err, "ERROR: adding extensions from request\n");
1777         ERR_print_errors(bio_err);
1778         goto end;
1779     }
1780
1781     /* Set the right value for the noemailDN option */
1782     if (email_dn == 0) {
1783         if (!X509_set_subject_name(ret, dn_subject))
1784             goto end;
1785     }
1786
1787     if (!default_op) {
1788         BIO_printf(bio_err, "Certificate Details:\n");
1789         /*
1790          * Never print signature details because signature not present
1791          */
1792         certopt |= X509_FLAG_NO_SIGDUMP | X509_FLAG_NO_SIGNAME;
1793         X509_print_ex(bio_err, ret, nameopt, certopt);
1794     }
1795
1796     BIO_printf(bio_err, "Certificate is to be certified until ");
1797     ASN1_TIME_print(bio_err, X509_get0_notAfter(ret));
1798     if (days)
1799         BIO_printf(bio_err, " (%ld days)", days);
1800     BIO_printf(bio_err, "\n");
1801
1802     if (!batch) {
1803
1804         BIO_printf(bio_err, "Sign the certificate? [y/n]:");
1805         (void)BIO_flush(bio_err);
1806         buf[0] = '\0';
1807         if (fgets(buf, sizeof(buf), stdin) == NULL) {
1808             BIO_printf(bio_err,
1809                        "CERTIFICATE WILL NOT BE CERTIFIED: I/O error\n");
1810             ok = 0;
1811             goto end;
1812         }
1813         if (!(buf[0] == 'y' || buf[0] == 'Y')) {
1814             BIO_printf(bio_err, "CERTIFICATE WILL NOT BE CERTIFIED\n");
1815             ok = 0;
1816             goto end;
1817         }
1818     }
1819
1820     pktmp = X509_get0_pubkey(ret);
1821     if (EVP_PKEY_missing_parameters(pktmp) &&
1822         !EVP_PKEY_missing_parameters(pkey))
1823         EVP_PKEY_copy_parameters(pktmp, pkey);
1824
1825     if (!do_X509_sign(ret, pkey, dgst, sigopts))
1826         goto end;
1827
1828     /* We now just add it to the database as DB_TYPE_VAL('V') */
1829     row[DB_type] = OPENSSL_strdup("V");
1830     tm = X509_get0_notAfter(ret);
1831     row[DB_exp_date] = app_malloc(tm->length + 1, "row expdate");
1832     memcpy(row[DB_exp_date], tm->data, tm->length);
1833     row[DB_exp_date][tm->length] = '\0';
1834     row[DB_rev_date] = NULL;
1835     row[DB_file] = OPENSSL_strdup("unknown");
1836     row[DB_name] = X509_NAME_oneline(X509_get_subject_name(ret), NULL, 0);
1837
1838     if ((row[DB_type] == NULL) || (row[DB_exp_date] == NULL) ||
1839         (row[DB_file] == NULL) || (row[DB_name] == NULL)) {
1840         BIO_printf(bio_err, "Memory allocation failure\n");
1841         goto end;
1842     }
1843
1844     irow = app_malloc(sizeof(*irow) * (DB_NUMBER + 1), "row space");
1845     for (i = 0; i < DB_NUMBER; i++) {
1846         irow[i] = row[i];
1847         row[i] = NULL;
1848     }
1849     irow[DB_NUMBER] = NULL;
1850
1851     if (!TXT_DB_insert(db->db, irow)) {
1852         BIO_printf(bio_err, "failed to update database\n");
1853         BIO_printf(bio_err, "TXT_DB error number %ld\n", db->db->error);
1854         goto end;
1855     }
1856     ok = 1;
1857  end:
1858     for (i = 0; i < DB_NUMBER; i++)
1859         OPENSSL_free(row[i]);
1860
1861     X509_NAME_free(CAname);
1862     X509_NAME_free(subject);
1863     if (dn_subject != subject)
1864         X509_NAME_free(dn_subject);
1865     if (ok <= 0)
1866         X509_free(ret);
1867     else
1868         *xret = ret;
1869     return (ok);
1870 }
1871
1872 static void write_new_certificate(BIO *bp, X509 *x, int output_der,
1873                                   int notext)
1874 {
1875
1876     if (output_der) {
1877         (void)i2d_X509_bio(bp, x);
1878         return;
1879     }
1880     if (!notext)
1881         X509_print(bp, x);
1882     PEM_write_bio_X509(bp, x);
1883 }
1884
1885 static int certify_spkac(X509 **xret, const char *infile, EVP_PKEY *pkey,
1886                          X509 *x509, const EVP_MD *dgst,
1887                          STACK_OF(OPENSSL_STRING) *sigopts,
1888                          STACK_OF(CONF_VALUE) *policy, CA_DB *db,
1889                          BIGNUM *serial, const char *subj, unsigned long chtype,
1890                          int multirdn, int email_dn, const char *startdate,
1891                          const char *enddate, long days, const char *ext_sect,
1892                          CONF *lconf, int verbose, unsigned long certopt,
1893                          unsigned long nameopt, int default_op, int ext_copy)
1894 {
1895     STACK_OF(CONF_VALUE) *sk = NULL;
1896     LHASH_OF(CONF_VALUE) *parms = NULL;
1897     X509_REQ *req = NULL;
1898     CONF_VALUE *cv = NULL;
1899     NETSCAPE_SPKI *spki = NULL;
1900     char *type, *buf;
1901     EVP_PKEY *pktmp = NULL;
1902     X509_NAME *n = NULL;
1903     X509_NAME_ENTRY *ne = NULL;
1904     int ok = -1, i, j;
1905     long errline;
1906     int nid;
1907
1908     /*
1909      * Load input file into a hash table.  (This is just an easy
1910      * way to read and parse the file, then put it into a convenient
1911      * STACK format).
1912      */
1913     parms = CONF_load(NULL, infile, &errline);
1914     if (parms == NULL) {
1915         BIO_printf(bio_err, "error on line %ld of %s\n", errline, infile);
1916         ERR_print_errors(bio_err);
1917         goto end;
1918     }
1919
1920     sk = CONF_get_section(parms, "default");
1921     if (sk_CONF_VALUE_num(sk) == 0) {
1922         BIO_printf(bio_err, "no name/value pairs found in %s\n", infile);
1923         goto end;
1924     }
1925
1926     /*
1927      * Now create a dummy X509 request structure.  We don't actually
1928      * have an X509 request, but we have many of the components
1929      * (a public key, various DN components).  The idea is that we
1930      * put these components into the right X509 request structure
1931      * and we can use the same code as if you had a real X509 request.
1932      */
1933     req = X509_REQ_new();
1934     if (req == NULL) {
1935         ERR_print_errors(bio_err);
1936         goto end;
1937     }
1938
1939     /*
1940      * Build up the subject name set.
1941      */
1942     n = X509_REQ_get_subject_name(req);
1943
1944     for (i = 0;; i++) {
1945         if (sk_CONF_VALUE_num(sk) <= i)
1946             break;
1947
1948         cv = sk_CONF_VALUE_value(sk, i);
1949         type = cv->name;
1950         /*
1951          * Skip past any leading X. X: X, etc to allow for multiple instances
1952          */
1953         for (buf = cv->name; *buf; buf++)
1954             if ((*buf == ':') || (*buf == ',') || (*buf == '.')) {
1955                 buf++;
1956                 if (*buf)
1957                     type = buf;
1958                 break;
1959             }
1960
1961         buf = cv->value;
1962         if ((nid = OBJ_txt2nid(type)) == NID_undef) {
1963             if (strcmp(type, "SPKAC") == 0) {
1964                 spki = NETSCAPE_SPKI_b64_decode(cv->value, -1);
1965                 if (spki == NULL) {
1966                     BIO_printf(bio_err,
1967                                "unable to load Netscape SPKAC structure\n");
1968                     ERR_print_errors(bio_err);
1969                     goto end;
1970                 }
1971             }
1972             continue;
1973         }
1974
1975         if (!X509_NAME_add_entry_by_NID(n, nid, chtype,
1976                                         (unsigned char *)buf, -1, -1, 0))
1977             goto end;
1978     }
1979     if (spki == NULL) {
1980         BIO_printf(bio_err, "Netscape SPKAC structure not found in %s\n",
1981                    infile);
1982         goto end;
1983     }
1984
1985     /*
1986      * Now extract the key from the SPKI structure.
1987      */
1988
1989     BIO_printf(bio_err,
1990                "Check that the SPKAC request matches the signature\n");
1991
1992     if ((pktmp = NETSCAPE_SPKI_get_pubkey(spki)) == NULL) {
1993         BIO_printf(bio_err, "error unpacking SPKAC public key\n");
1994         goto end;
1995     }
1996
1997     j = NETSCAPE_SPKI_verify(spki, pktmp);
1998     if (j <= 0) {
1999         EVP_PKEY_free(pktmp);
2000         BIO_printf(bio_err,
2001                    "signature verification failed on SPKAC public key\n");
2002         goto end;
2003     }
2004     BIO_printf(bio_err, "Signature ok\n");
2005
2006     X509_REQ_set_pubkey(req, pktmp);
2007     EVP_PKEY_free(pktmp);
2008     ok = do_body(xret, pkey, x509, dgst, sigopts, policy, db, serial, subj,
2009                  chtype, multirdn, email_dn, startdate, enddate, days, 1,
2010                  verbose, req, ext_sect, lconf, certopt, nameopt, default_op,
2011                  ext_copy, 0);
2012  end:
2013     X509_REQ_free(req);
2014     CONF_free(parms);
2015     NETSCAPE_SPKI_free(spki);
2016     X509_NAME_ENTRY_free(ne);
2017
2018     return (ok);
2019 }
2020
2021 static int check_time_format(const char *str)
2022 {
2023     return ASN1_TIME_set_string(NULL, str);
2024 }
2025
2026 static int do_revoke(X509 *x509, CA_DB *db, REVINFO_TYPE rev_type,
2027                      const char *value)
2028 {
2029     const ASN1_TIME *tm = NULL;
2030     char *row[DB_NUMBER], **rrow, **irow;
2031     char *rev_str = NULL;
2032     BIGNUM *bn = NULL;
2033     int ok = -1, i;
2034
2035     for (i = 0; i < DB_NUMBER; i++)
2036         row[i] = NULL;
2037     row[DB_name] = X509_NAME_oneline(X509_get_subject_name(x509), NULL, 0);
2038     bn = ASN1_INTEGER_to_BN(X509_get_serialNumber(x509), NULL);
2039     if (!bn)
2040         goto end;
2041     if (BN_is_zero(bn))
2042         row[DB_serial] = OPENSSL_strdup("00");
2043     else
2044         row[DB_serial] = BN_bn2hex(bn);
2045     BN_free(bn);
2046     if ((row[DB_name] == NULL) || (row[DB_serial] == NULL)) {
2047         BIO_printf(bio_err, "Memory allocation failure\n");
2048         goto end;
2049     }
2050     /*
2051      * We have to lookup by serial number because name lookup skips revoked
2052      * certs
2053      */
2054     rrow = TXT_DB_get_by_index(db->db, DB_serial, row);
2055     if (rrow == NULL) {
2056         BIO_printf(bio_err,
2057                    "Adding Entry with serial number %s to DB for %s\n",
2058                    row[DB_serial], row[DB_name]);
2059
2060         /* We now just add it to the database as DB_TYPE_REV('V') */
2061         row[DB_type] = OPENSSL_strdup("V");
2062         tm = X509_get0_notAfter(x509);
2063         row[DB_exp_date] = app_malloc(tm->length + 1, "row exp_data");
2064         memcpy(row[DB_exp_date], tm->data, tm->length);
2065         row[DB_exp_date][tm->length] = '\0';
2066         row[DB_rev_date] = NULL;
2067         row[DB_file] = OPENSSL_strdup("unknown");
2068
2069         irow = app_malloc(sizeof(*irow) * (DB_NUMBER + 1), "row ptr");
2070         for (i = 0; i < DB_NUMBER; i++) {
2071             irow[i] = row[i];
2072             row[i] = NULL;
2073         }
2074         irow[DB_NUMBER] = NULL;
2075
2076         if (!TXT_DB_insert(db->db, irow)) {
2077             BIO_printf(bio_err, "failed to update database\n");
2078             BIO_printf(bio_err, "TXT_DB error number %ld\n", db->db->error);
2079             goto end;
2080         }
2081
2082         /* Revoke Certificate */
2083         if (rev_type == REV_VALID)
2084             ok = 1;
2085         else
2086             /* Retry revocation after DB insertion */
2087             ok = do_revoke(x509, db, rev_type, value);
2088
2089         goto end;
2090
2091     } else if (index_name_cmp_noconst(row, rrow)) {
2092         BIO_printf(bio_err, "ERROR:name does not match %s\n", row[DB_name]);
2093         goto end;
2094     } else if (rev_type == REV_VALID) {
2095         BIO_printf(bio_err, "ERROR:Already present, serial number %s\n",
2096                    row[DB_serial]);
2097         goto end;
2098     } else if (rrow[DB_type][0] == DB_TYPE_REV) {
2099         BIO_printf(bio_err, "ERROR:Already revoked, serial number %s\n",
2100                    row[DB_serial]);
2101         goto end;
2102     } else {
2103         BIO_printf(bio_err, "Revoking Certificate %s.\n", rrow[DB_serial]);
2104         rev_str = make_revocation_str(rev_type, value);
2105         if (!rev_str) {
2106             BIO_printf(bio_err, "Error in revocation arguments\n");
2107             goto end;
2108         }
2109         rrow[DB_type][0] = DB_TYPE_REV;
2110         rrow[DB_type][1] = '\0';
2111         rrow[DB_rev_date] = rev_str;
2112     }
2113     ok = 1;
2114  end:
2115     for (i = 0; i < DB_NUMBER; i++) {
2116         OPENSSL_free(row[i]);
2117     }
2118     return (ok);
2119 }
2120
2121 static int get_certificate_status(const char *serial, CA_DB *db)
2122 {
2123     char *row[DB_NUMBER], **rrow;
2124     int ok = -1, i;
2125     size_t serial_len = strlen(serial);
2126
2127     /* Free Resources */
2128     for (i = 0; i < DB_NUMBER; i++)
2129         row[i] = NULL;
2130
2131     /* Malloc needed char spaces */
2132     row[DB_serial] = app_malloc(serial_len + 2, "row serial#");
2133
2134     if (serial_len % 2) {
2135         /*
2136          * Set the first char to 0
2137          */ ;
2138         row[DB_serial][0] = '0';
2139
2140         /* Copy String from serial to row[DB_serial] */
2141         memcpy(row[DB_serial] + 1, serial, serial_len);
2142         row[DB_serial][serial_len + 1] = '\0';
2143     } else {
2144         /* Copy String from serial to row[DB_serial] */
2145         memcpy(row[DB_serial], serial, serial_len);
2146         row[DB_serial][serial_len] = '\0';
2147     }
2148
2149     /* Make it Upper Case */
2150     for (i = 0; row[DB_serial][i] != '\0'; i++)
2151         row[DB_serial][i] = toupper((unsigned char)row[DB_serial][i]);
2152
2153     ok = 1;
2154
2155     /* Search for the certificate */
2156     rrow = TXT_DB_get_by_index(db->db, DB_serial, row);
2157     if (rrow == NULL) {
2158         BIO_printf(bio_err, "Serial %s not present in db.\n", row[DB_serial]);
2159         ok = -1;
2160         goto end;
2161     } else if (rrow[DB_type][0] == DB_TYPE_VAL) {
2162         BIO_printf(bio_err, "%s=Valid (%c)\n",
2163                    row[DB_serial], rrow[DB_type][0]);
2164         goto end;
2165     } else if (rrow[DB_type][0] == DB_TYPE_REV) {
2166         BIO_printf(bio_err, "%s=Revoked (%c)\n",
2167                    row[DB_serial], rrow[DB_type][0]);
2168         goto end;
2169     } else if (rrow[DB_type][0] == DB_TYPE_EXP) {
2170         BIO_printf(bio_err, "%s=Expired (%c)\n",
2171                    row[DB_serial], rrow[DB_type][0]);
2172         goto end;
2173     } else if (rrow[DB_type][0] == DB_TYPE_SUSP) {
2174         BIO_printf(bio_err, "%s=Suspended (%c)\n",
2175                    row[DB_serial], rrow[DB_type][0]);
2176         goto end;
2177     } else {
2178         BIO_printf(bio_err, "%s=Unknown (%c).\n",
2179                    row[DB_serial], rrow[DB_type][0]);
2180         ok = -1;
2181     }
2182  end:
2183     for (i = 0; i < DB_NUMBER; i++) {
2184         OPENSSL_free(row[i]);
2185     }
2186     return (ok);
2187 }
2188
2189 static int do_updatedb(CA_DB *db)
2190 {
2191     ASN1_UTCTIME *a_tm = NULL;
2192     int i, cnt = 0;
2193     int db_y2k, a_y2k;          /* flags = 1 if y >= 2000 */
2194     char **rrow, *a_tm_s;
2195
2196     a_tm = ASN1_UTCTIME_new();
2197     if (a_tm == NULL)
2198         return -1;
2199
2200     /* get actual time and make a string */
2201     a_tm = X509_gmtime_adj(a_tm, 0);
2202     a_tm_s = app_malloc(a_tm->length + 1, "time string");
2203
2204     memcpy(a_tm_s, a_tm->data, a_tm->length);
2205     a_tm_s[a_tm->length] = '\0';
2206
2207     if (strncmp(a_tm_s, "49", 2) <= 0)
2208         a_y2k = 1;
2209     else
2210         a_y2k = 0;
2211
2212     for (i = 0; i < sk_OPENSSL_PSTRING_num(db->db->data); i++) {
2213         rrow = sk_OPENSSL_PSTRING_value(db->db->data, i);
2214
2215         if (rrow[DB_type][0] == DB_TYPE_VAL) {
2216             /* ignore entries that are not valid */
2217             if (strncmp(rrow[DB_exp_date], "49", 2) <= 0)
2218                 db_y2k = 1;
2219             else
2220                 db_y2k = 0;
2221
2222             if (db_y2k == a_y2k) {
2223                 /* all on the same y2k side */
2224                 if (strcmp(rrow[DB_exp_date], a_tm_s) <= 0) {
2225                     rrow[DB_type][0] = DB_TYPE_EXP;
2226                     rrow[DB_type][1] = '\0';
2227                     cnt++;
2228
2229                     BIO_printf(bio_err, "%s=Expired\n", rrow[DB_serial]);
2230                 }
2231             } else if (db_y2k < a_y2k) {
2232                 rrow[DB_type][0] = DB_TYPE_EXP;
2233                 rrow[DB_type][1] = '\0';
2234                 cnt++;
2235
2236                 BIO_printf(bio_err, "%s=Expired\n", rrow[DB_serial]);
2237             }
2238
2239         }
2240     }
2241
2242     ASN1_UTCTIME_free(a_tm);
2243     OPENSSL_free(a_tm_s);
2244     return (cnt);
2245 }
2246
2247 static const char *crl_reasons[] = {
2248     /* CRL reason strings */
2249     "unspecified",
2250     "keyCompromise",
2251     "CACompromise",
2252     "affiliationChanged",
2253     "superseded",
2254     "cessationOfOperation",
2255     "certificateHold",
2256     "removeFromCRL",
2257     /* Additional pseudo reasons */
2258     "holdInstruction",
2259     "keyTime",
2260     "CAkeyTime"
2261 };
2262
2263 #define NUM_REASONS OSSL_NELEM(crl_reasons)
2264
2265 /*
2266  * Given revocation information convert to a DB string. The format of the
2267  * string is: revtime[,reason,extra]. Where 'revtime' is the revocation time
2268  * (the current time). 'reason' is the optional CRL reason and 'extra' is any
2269  * additional argument
2270  */
2271
2272 static char *make_revocation_str(REVINFO_TYPE rev_type, const char *rev_arg)
2273 {
2274     char *str;
2275     const char *reason = NULL, *other = NULL;
2276     ASN1_OBJECT *otmp;
2277     ASN1_UTCTIME *revtm = NULL;
2278     int i;
2279
2280     switch (rev_type) {
2281     case REV_NONE:
2282     case REV_VALID:
2283         break;
2284
2285     case REV_CRL_REASON:
2286         for (i = 0; i < 8; i++) {
2287             if (strcasecmp(rev_arg, crl_reasons[i]) == 0) {
2288                 reason = crl_reasons[i];
2289                 break;
2290             }
2291         }
2292         if (reason == NULL) {
2293             BIO_printf(bio_err, "Unknown CRL reason %s\n", rev_arg);
2294             return NULL;
2295         }
2296         break;
2297
2298     case REV_HOLD:
2299         /* Argument is an OID */
2300         otmp = OBJ_txt2obj(rev_arg, 0);
2301         ASN1_OBJECT_free(otmp);
2302
2303         if (otmp == NULL) {
2304             BIO_printf(bio_err, "Invalid object identifier %s\n", rev_arg);
2305             return NULL;
2306         }
2307
2308         reason = "holdInstruction";
2309         other = rev_arg;
2310         break;
2311
2312     case REV_KEY_COMPROMISE:
2313     case REV_CA_COMPROMISE:
2314         /* Argument is the key compromise time  */
2315         if (!ASN1_GENERALIZEDTIME_set_string(NULL, rev_arg)) {
2316             BIO_printf(bio_err,
2317                        "Invalid time format %s. Need YYYYMMDDHHMMSSZ\n",
2318                        rev_arg);
2319             return NULL;
2320         }
2321         other = rev_arg;
2322         if (rev_type == REV_KEY_COMPROMISE)
2323             reason = "keyTime";
2324         else
2325             reason = "CAkeyTime";
2326
2327         break;
2328     }
2329
2330     revtm = X509_gmtime_adj(NULL, 0);
2331
2332     if (!revtm)
2333         return NULL;
2334
2335     i = revtm->length + 1;
2336
2337     if (reason)
2338         i += strlen(reason) + 1;
2339     if (other)
2340         i += strlen(other) + 1;
2341
2342     str = app_malloc(i, "revocation reason");
2343     OPENSSL_strlcpy(str, (char *)revtm->data, i);
2344     if (reason) {
2345         OPENSSL_strlcat(str, ",", i);
2346         OPENSSL_strlcat(str, reason, i);
2347     }
2348     if (other) {
2349         OPENSSL_strlcat(str, ",", i);
2350         OPENSSL_strlcat(str, other, i);
2351     }
2352     ASN1_UTCTIME_free(revtm);
2353     return str;
2354 }
2355
2356 /*-
2357  * Convert revocation field to X509_REVOKED entry
2358  * return code:
2359  * 0 error
2360  * 1 OK
2361  * 2 OK and some extensions added (i.e. V2 CRL)
2362  */
2363
2364 static int make_revoked(X509_REVOKED *rev, const char *str)
2365 {
2366     char *tmp = NULL;
2367     int reason_code = -1;
2368     int i, ret = 0;
2369     ASN1_OBJECT *hold = NULL;
2370     ASN1_GENERALIZEDTIME *comp_time = NULL;
2371     ASN1_ENUMERATED *rtmp = NULL;
2372
2373     ASN1_TIME *revDate = NULL;
2374
2375     i = unpack_revinfo(&revDate, &reason_code, &hold, &comp_time, str);
2376
2377     if (i == 0)
2378         goto end;
2379
2380     if (rev && !X509_REVOKED_set_revocationDate(rev, revDate))
2381         goto end;
2382
2383     if (rev && (reason_code != OCSP_REVOKED_STATUS_NOSTATUS)) {
2384         rtmp = ASN1_ENUMERATED_new();
2385         if (rtmp == NULL || !ASN1_ENUMERATED_set(rtmp, reason_code))
2386             goto end;
2387         if (!X509_REVOKED_add1_ext_i2d(rev, NID_crl_reason, rtmp, 0, 0))
2388             goto end;
2389     }
2390
2391     if (rev && comp_time) {
2392         if (!X509_REVOKED_add1_ext_i2d
2393             (rev, NID_invalidity_date, comp_time, 0, 0))
2394             goto end;
2395     }
2396     if (rev && hold) {
2397         if (!X509_REVOKED_add1_ext_i2d
2398             (rev, NID_hold_instruction_code, hold, 0, 0))
2399             goto end;
2400     }
2401
2402     if (reason_code != OCSP_REVOKED_STATUS_NOSTATUS)
2403         ret = 2;
2404     else
2405         ret = 1;
2406
2407  end:
2408
2409     OPENSSL_free(tmp);
2410     ASN1_OBJECT_free(hold);
2411     ASN1_GENERALIZEDTIME_free(comp_time);
2412     ASN1_ENUMERATED_free(rtmp);
2413     ASN1_TIME_free(revDate);
2414
2415     return ret;
2416 }
2417
2418 static int old_entry_print(const ASN1_OBJECT *obj, const ASN1_STRING *str)
2419 {
2420     char buf[25], *pbuf;
2421     const char *p;
2422     int j;
2423
2424     j = i2a_ASN1_OBJECT(bio_err, obj);
2425     pbuf = buf;
2426     for (j = 22 - j; j > 0; j--)
2427         *(pbuf++) = ' ';
2428     *(pbuf++) = ':';
2429     *(pbuf++) = '\0';
2430     BIO_puts(bio_err, buf);
2431
2432     if (str->type == V_ASN1_PRINTABLESTRING)
2433         BIO_printf(bio_err, "PRINTABLE:'");
2434     else if (str->type == V_ASN1_T61STRING)
2435         BIO_printf(bio_err, "T61STRING:'");
2436     else if (str->type == V_ASN1_IA5STRING)
2437         BIO_printf(bio_err, "IA5STRING:'");
2438     else if (str->type == V_ASN1_UNIVERSALSTRING)
2439         BIO_printf(bio_err, "UNIVERSALSTRING:'");
2440     else
2441         BIO_printf(bio_err, "ASN.1 %2d:'", str->type);
2442
2443     p = (const char *)str->data;
2444     for (j = str->length; j > 0; j--) {
2445         if ((*p >= ' ') && (*p <= '~'))
2446             BIO_printf(bio_err, "%c", *p);
2447         else if (*p & 0x80)
2448             BIO_printf(bio_err, "\\0x%02X", *p);
2449         else if ((unsigned char)*p == 0xf7)
2450             BIO_printf(bio_err, "^?");
2451         else
2452             BIO_printf(bio_err, "^%c", *p + '@');
2453         p++;
2454     }
2455     BIO_printf(bio_err, "'\n");
2456     return 1;
2457 }
2458
2459 int unpack_revinfo(ASN1_TIME **prevtm, int *preason, ASN1_OBJECT **phold,
2460                    ASN1_GENERALIZEDTIME **pinvtm, const char *str)
2461 {
2462     char *tmp;
2463     char *rtime_str, *reason_str = NULL, *arg_str = NULL, *p;
2464     int reason_code = -1;
2465     int ret = 0;
2466     unsigned int i;
2467     ASN1_OBJECT *hold = NULL;
2468     ASN1_GENERALIZEDTIME *comp_time = NULL;
2469
2470     tmp = OPENSSL_strdup(str);
2471     if (!tmp) {
2472         BIO_printf(bio_err, "memory allocation failure\n");
2473         goto end;
2474     }
2475
2476     p = strchr(tmp, ',');
2477
2478     rtime_str = tmp;
2479
2480     if (p) {
2481         *p = '\0';
2482         p++;
2483         reason_str = p;
2484         p = strchr(p, ',');
2485         if (p) {
2486             *p = '\0';
2487             arg_str = p + 1;
2488         }
2489     }
2490
2491     if (prevtm) {
2492         *prevtm = ASN1_UTCTIME_new();
2493         if (*prevtm == NULL) {
2494             BIO_printf(bio_err, "memory allocation failure\n");
2495             goto end;
2496         }
2497         if (!ASN1_UTCTIME_set_string(*prevtm, rtime_str)) {
2498             BIO_printf(bio_err, "invalid revocation date %s\n", rtime_str);
2499             goto end;
2500         }
2501     }
2502     if (reason_str) {
2503         for (i = 0; i < NUM_REASONS; i++) {
2504             if (strcasecmp(reason_str, crl_reasons[i]) == 0) {
2505                 reason_code = i;
2506                 break;
2507             }
2508         }
2509         if (reason_code == OCSP_REVOKED_STATUS_NOSTATUS) {
2510             BIO_printf(bio_err, "invalid reason code %s\n", reason_str);
2511             goto end;
2512         }
2513
2514         if (reason_code == 7)
2515             reason_code = OCSP_REVOKED_STATUS_REMOVEFROMCRL;
2516         else if (reason_code == 8) { /* Hold instruction */
2517             if (!arg_str) {
2518                 BIO_printf(bio_err, "missing hold instruction\n");
2519                 goto end;
2520             }
2521             reason_code = OCSP_REVOKED_STATUS_CERTIFICATEHOLD;
2522             hold = OBJ_txt2obj(arg_str, 0);
2523
2524             if (!hold) {
2525                 BIO_printf(bio_err, "invalid object identifier %s\n",
2526                            arg_str);
2527                 goto end;
2528             }
2529             if (phold)
2530                 *phold = hold;
2531             else
2532                 ASN1_OBJECT_free(hold);
2533         } else if ((reason_code == 9) || (reason_code == 10)) {
2534             if (!arg_str) {
2535                 BIO_printf(bio_err, "missing compromised time\n");
2536                 goto end;
2537             }
2538             comp_time = ASN1_GENERALIZEDTIME_new();
2539             if (comp_time == NULL) {
2540                 BIO_printf(bio_err, "memory allocation failure\n");
2541                 goto end;
2542             }
2543             if (!ASN1_GENERALIZEDTIME_set_string(comp_time, arg_str)) {
2544                 BIO_printf(bio_err, "invalid compromised time %s\n", arg_str);
2545                 goto end;
2546             }
2547             if (reason_code == 9)
2548                 reason_code = OCSP_REVOKED_STATUS_KEYCOMPROMISE;
2549             else
2550                 reason_code = OCSP_REVOKED_STATUS_CACOMPROMISE;
2551         }
2552     }
2553
2554     if (preason)
2555         *preason = reason_code;
2556     if (pinvtm) {
2557         *pinvtm = comp_time;
2558         comp_time = NULL;
2559     }
2560
2561     ret = 1;
2562
2563  end:
2564
2565     OPENSSL_free(tmp);
2566     ASN1_GENERALIZEDTIME_free(comp_time);
2567
2568     return ret;
2569 }