apps/cmp_mock_srv.c

   1 /*
   2  * Copyright 2018-2021 The OpenSSL Project Authors. All Rights Reserved.
   3  * Copyright Siemens AG 2018-2020
   4  *
   5  * Licensed under the Apache License 2.0 (the "License").  You may not use
   6  * this file except in compliance with the License.  You can obtain a copy
   7  * in the file LICENSE in the source distribution or atf
   8  * https://www.openssl.org/source/license.html
   9  */
  10
  11 #include "apps.h"
  12 #include "cmp_mock_srv.h"
  13
  14 #include <openssl/cmp.h>
  15 #include <openssl/err.h>
  16 #include <openssl/cmperr.h>
  17
  18 /* the context for the CMP mock server */
  19 typedef struct
  20 {
  21     X509 *certOut;             /* certificate to be returned in cp/ip/kup msg */
  22     STACK_OF(X509) *chainOut;  /* chain of certOut to add to extraCerts field */
  23     STACK_OF(X509) *caPubsOut; /* certs to return in caPubs field of ip msg */
  24     OSSL_CMP_PKISI *statusOut; /* status for ip/cp/kup/rp msg unless polling */
  25     int sendError;             /* send error response also on valid requests */
  26     OSSL_CMP_MSG *certReq;     /* ir/cr/p10cr/kur remembered while polling */
  27     int certReqId;             /* id of last ir/cr/kur, used for polling */
  28     int pollCount;             /* number of polls before actual cert response */
  29     int checkAfterTime;        /* time the client should wait between polling */
  30 } mock_srv_ctx;
  31
  32
  33 static void mock_srv_ctx_free(mock_srv_ctx *ctx)
  34 {
  35     if (ctx == NULL)
  36         return;
  37
  38     OSSL_CMP_PKISI_free(ctx->statusOut);
  39     X509_free(ctx->certOut);
  40     sk_X509_pop_free(ctx->chainOut, X509_free);
  41     sk_X509_pop_free(ctx->caPubsOut, X509_free);
  42     OSSL_CMP_MSG_free(ctx->certReq);
  43     OPENSSL_free(ctx);
  44 }
  45
  46 static mock_srv_ctx *mock_srv_ctx_new(void)
  47 {
  48     mock_srv_ctx *ctx = OPENSSL_zalloc(sizeof(mock_srv_ctx));
  49
  50     if (ctx == NULL)
  51         goto err;
  52
  53     if ((ctx->statusOut = OSSL_CMP_PKISI_new()) == NULL)
  54         goto err;
  55
  56     ctx->certReqId = -1;
  57
  58     /* all other elements are initialized to 0 or NULL, respectively */
  59     return ctx;
  60  err:
  61     mock_srv_ctx_free(ctx);
  62     return NULL;
  63 }
  64
  65 int ossl_cmp_mock_srv_set1_certOut(OSSL_CMP_SRV_CTX *srv_ctx, X509 *cert)
  66 {
  67     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
  68
  69     if (ctx == NULL) {
  70         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
  71         return 0;
  72     }
  73     if (cert == NULL || X509_up_ref(cert)) {
  74         X509_free(ctx->certOut);
  75         ctx->certOut = cert;
  76         return 1;
  77     }
  78     return 0;
  79 }
  80
  81 int ossl_cmp_mock_srv_set1_chainOut(OSSL_CMP_SRV_CTX *srv_ctx,
  82                                     STACK_OF(X509) *chain)
  83 {
  84     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
  85     STACK_OF(X509) *chain_copy = NULL;
  86
  87     if (ctx == NULL) {
  88         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
  89         return 0;
  90     }
  91     if (chain != NULL && (chain_copy = X509_chain_up_ref(chain)) == NULL)
  92         return 0;
  93     sk_X509_pop_free(ctx->chainOut, X509_free);
  94     ctx->chainOut = chain_copy;
  95     return 1;
  96 }
  97
  98 int ossl_cmp_mock_srv_set1_caPubsOut(OSSL_CMP_SRV_CTX *srv_ctx,
  99                                      STACK_OF(X509) *caPubs)
 100 {
 101     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 102     STACK_OF(X509) *caPubs_copy = NULL;
 103
 104     if (ctx == NULL) {
 105         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 106         return 0;
 107     }
 108     if (caPubs != NULL && (caPubs_copy = X509_chain_up_ref(caPubs)) == NULL)
 109         return 0;
 110     sk_X509_pop_free(ctx->caPubsOut, X509_free);
 111     ctx->caPubsOut = caPubs_copy;
 112     return 1;
 113 }
 114
 115 int ossl_cmp_mock_srv_set_statusInfo(OSSL_CMP_SRV_CTX *srv_ctx, int status,
 116                                      int fail_info, const char *text)
 117 {
 118     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 119     OSSL_CMP_PKISI *si;
 120
 121     if (ctx == NULL) {
 122         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 123         return 0;
 124     }
 125     if ((si = OSSL_CMP_STATUSINFO_new(status, fail_info, text)) == NULL)
 126         return 0;
 127     OSSL_CMP_PKISI_free(ctx->statusOut);
 128     ctx->statusOut = si;
 129     return 1;
 130 }
 131
 132 int ossl_cmp_mock_srv_set_send_error(OSSL_CMP_SRV_CTX *srv_ctx, int val)
 133 {
 134     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 135
 136     if (ctx == NULL) {
 137         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 138         return 0;
 139     }
 140     ctx->sendError = val != 0;
 141     return 1;
 142 }
 143
 144 int ossl_cmp_mock_srv_set_pollCount(OSSL_CMP_SRV_CTX *srv_ctx, int count)
 145 {
 146     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 147
 148     if (ctx == NULL) {
 149         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 150         return 0;
 151     }
 152     if (count < 0) {
 153         ERR_raise(ERR_LIB_CMP, CMP_R_INVALID_ARGS);
 154         return 0;
 155     }
 156     ctx->pollCount = count;
 157     return 1;
 158 }
 159
 160 int ossl_cmp_mock_srv_set_checkAfterTime(OSSL_CMP_SRV_CTX *srv_ctx, int sec)
 161 {
 162     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 163
 164     if (ctx == NULL) {
 165         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 166         return 0;
 167     }
 168     ctx->checkAfterTime = sec;
 169     return 1;
 170 }
 171
 172 static OSSL_CMP_PKISI *process_cert_request(OSSL_CMP_SRV_CTX *srv_ctx,
 173                                             const OSSL_CMP_MSG *cert_req,
 174                                             int certReqId,
 175                                             const OSSL_CRMF_MSG *crm,
 176                                             const X509_REQ *p10cr,
 177                                             X509 **certOut,
 178                                             STACK_OF(X509) **chainOut,
 179                                             STACK_OF(X509) **caPubs)
 180 {
 181     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 182     OSSL_CMP_PKISI *si = NULL;
 183
 184     if (ctx == NULL || cert_req == NULL
 185             || certOut == NULL || chainOut == NULL || caPubs == NULL) {
 186         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 187         return NULL;
 188     }
 189     if (ctx->sendError) {
 190         ERR_raise(ERR_LIB_CMP, CMP_R_ERROR_PROCESSING_MESSAGE);
 191         return NULL;
 192     }
 193
 194     *certOut = NULL;
 195     *chainOut = NULL;
 196     *caPubs = NULL;
 197     ctx->certReqId = certReqId;
 198     if (ctx->pollCount > 0) {
 199         ctx->pollCount--;
 200         OSSL_CMP_MSG_free(ctx->certReq);
 201         if ((ctx->certReq = OSSL_CMP_MSG_dup(cert_req)) == NULL)
 202             return NULL;
 203         return OSSL_CMP_STATUSINFO_new(OSSL_CMP_PKISTATUS_waiting, 0, NULL);
 204     }
 205     if (ctx->certOut != NULL
 206             && (*certOut = X509_dup(ctx->certOut)) == NULL)
 207         /* TODO better return a cert produced from data in request template */
 208         goto err;
 209     if (ctx->chainOut != NULL
 210             && (*chainOut = X509_chain_up_ref(ctx->chainOut)) == NULL)
 211         goto err;
 212     if (ctx->caPubsOut != NULL
 213             && (*caPubs = X509_chain_up_ref(ctx->caPubsOut)) == NULL)
 214         goto err;
 215     if (ctx->statusOut != NULL
 216             && (si = OSSL_CMP_PKISI_dup(ctx->statusOut)) == NULL)
 217         goto err;
 218     return si;
 219
 220  err:
 221     X509_free(*certOut);
 222     *certOut = NULL;
 223     sk_X509_pop_free(*chainOut, X509_free);
 224     *chainOut = NULL;
 225     sk_X509_pop_free(*caPubs, X509_free);
 226     *caPubs = NULL;
 227     return NULL;
 228 }
 229
 230 static OSSL_CMP_PKISI *process_rr(OSSL_CMP_SRV_CTX *srv_ctx,
 231                                   const OSSL_CMP_MSG *rr,
 232                                   const X509_NAME *issuer,
 233                                   const ASN1_INTEGER *serial)
 234 {
 235     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 236
 237     if (ctx == NULL || rr == NULL) {
 238         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 239         return NULL;
 240     }
 241     if (ctx->sendError || ctx->certOut == NULL) {
 242         ERR_raise(ERR_LIB_CMP, CMP_R_ERROR_PROCESSING_MESSAGE);
 243         return NULL;
 244     }
 245
 246     /* Allow any RR derived from CSR, which may include subject and serial */
 247     if (issuer == NULL || serial == NULL)
 248         return OSSL_CMP_PKISI_dup(ctx->statusOut);
 249
 250     /* accept revocation only for the certificate we sent in ir/cr/kur */
 251     if (X509_NAME_cmp(issuer, X509_get_issuer_name(ctx->certOut)) != 0
 252             || ASN1_INTEGER_cmp(serial,
 253                                 X509_get0_serialNumber(ctx->certOut)) != 0) {
 254         ERR_raise(ERR_LIB_CMP, CMP_R_REQUEST_NOT_ACCEPTED);
 255         return NULL;
 256     }
 257     return OSSL_CMP_PKISI_dup(ctx->statusOut);
 258 }
 259
 260 static int process_genm(OSSL_CMP_SRV_CTX *srv_ctx,
 261                         const OSSL_CMP_MSG *genm,
 262                         const STACK_OF(OSSL_CMP_ITAV) *in,
 263                         STACK_OF(OSSL_CMP_ITAV) **out)
 264 {
 265     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 266
 267     if (ctx == NULL || genm == NULL || in == NULL || out == NULL) {
 268         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 269         return 0;
 270     }
 271     if (ctx->sendError) {
 272         ERR_raise(ERR_LIB_CMP, CMP_R_ERROR_PROCESSING_MESSAGE);
 273         return 0;
 274     }
 275
 276     *out = sk_OSSL_CMP_ITAV_deep_copy(in, OSSL_CMP_ITAV_dup,
 277                                       OSSL_CMP_ITAV_free);
 278     return *out != NULL;
 279 }
 280
 281 static void process_error(OSSL_CMP_SRV_CTX *srv_ctx, const OSSL_CMP_MSG *error,
 282                           const OSSL_CMP_PKISI *statusInfo,
 283                           const ASN1_INTEGER *errorCode,
 284                           const OSSL_CMP_PKIFREETEXT *errorDetails)
 285 {
 286     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 287     char buf[OSSL_CMP_PKISI_BUFLEN];
 288     char *sibuf;
 289     int i;
 290
 291     if (ctx == NULL || error == NULL) {
 292         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 293         return;
 294     }
 295
 296     BIO_printf(bio_err, "mock server received error:\n");
 297
 298     if (statusInfo == NULL) {
 299         BIO_printf(bio_err, "pkiStatusInfo absent\n");
 300     } else {
 301         sibuf = OSSL_CMP_snprint_PKIStatusInfo(statusInfo, buf, sizeof(buf));
 302         BIO_printf(bio_err, "pkiStatusInfo: %s\n",
 303                    sibuf != NULL ? sibuf: "<invalid>");
 304     }
 305
 306     if (errorCode == NULL)
 307         BIO_printf(bio_err, "errorCode absent\n");
 308     else
 309         BIO_printf(bio_err, "errorCode: %ld\n", ASN1_INTEGER_get(errorCode));
 310
 311     if (sk_ASN1_UTF8STRING_num(errorDetails) <= 0) {
 312         BIO_printf(bio_err, "errorDetails absent\n");
 313     } else {
 314         /* TODO could use sk_ASN1_UTF8STRING2text() if exported */
 315         BIO_printf(bio_err, "errorDetails: ");
 316         for (i = 0; i < sk_ASN1_UTF8STRING_num(errorDetails); i++) {
 317             if (i > 0)
 318                 BIO_printf(bio_err, ", ");
 319             BIO_printf(bio_err, "\"");
 320             ASN1_STRING_print(bio_err,
 321                               sk_ASN1_UTF8STRING_value(errorDetails, i));
 322             BIO_printf(bio_err, "\"");
 323         }
 324         BIO_printf(bio_err, "\n");
 325     }
 326 }
 327
 328 static int process_certConf(OSSL_CMP_SRV_CTX *srv_ctx,
 329                             const OSSL_CMP_MSG *certConf, int certReqId,
 330                             const ASN1_OCTET_STRING *certHash,
 331                             const OSSL_CMP_PKISI *si)
 332 {
 333     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 334     ASN1_OCTET_STRING *digest;
 335
 336     if (ctx == NULL || certConf == NULL || certHash == NULL) {
 337         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 338         return 0;
 339     }
 340     if (ctx->sendError || ctx->certOut == NULL) {
 341         ERR_raise(ERR_LIB_CMP, CMP_R_ERROR_PROCESSING_MESSAGE);
 342         return 0;
 343     }
 344
 345     if (certReqId != ctx->certReqId) {
 346         /* in case of error, invalid reqId -1 */
 347         ERR_raise(ERR_LIB_CMP, CMP_R_BAD_REQUEST_ID);
 348         return 0;
 349     }
 350
 351     if ((digest = X509_digest_sig(ctx->certOut)) == NULL)
 352         return 0;
 353     if (ASN1_OCTET_STRING_cmp(certHash, digest) != 0) {
 354         ASN1_OCTET_STRING_free(digest);
 355         ERR_raise(ERR_LIB_CMP, CMP_R_CERTHASH_UNMATCHED);
 356         return 0;
 357     }
 358     ASN1_OCTET_STRING_free(digest);
 359     return 1;
 360 }
 361
 362 static int process_pollReq(OSSL_CMP_SRV_CTX *srv_ctx,
 363                            const OSSL_CMP_MSG *pollReq, int certReqId,
 364                            OSSL_CMP_MSG **certReq, int64_t *check_after)
 365 {
 366     mock_srv_ctx *ctx = OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx);
 367
 368     if (ctx == NULL || pollReq == NULL
 369             || certReq == NULL || check_after == NULL) {
 370         ERR_raise(ERR_LIB_CMP, CMP_R_NULL_ARGUMENT);
 371         return 0;
 372     }
 373     if (ctx->sendError || ctx->certReq == NULL) {
 374         *certReq = NULL;
 375         ERR_raise(ERR_LIB_CMP, CMP_R_ERROR_PROCESSING_MESSAGE);
 376         return 0;
 377     }
 378
 379     if (ctx->pollCount == 0) {
 380         *certReq = ctx->certReq;
 381         ctx->certReq = NULL;
 382         *check_after = 0;
 383     } else {
 384         ctx->pollCount--;
 385         *certReq = NULL;
 386         *check_after = ctx->checkAfterTime;
 387     }
 388     return 1;
 389 }
 390
 391 OSSL_CMP_SRV_CTX *ossl_cmp_mock_srv_new(OSSL_LIB_CTX *libctx, const char *propq)
 392 {
 393     OSSL_CMP_SRV_CTX *srv_ctx = OSSL_CMP_SRV_CTX_new(libctx, propq);
 394     mock_srv_ctx *ctx = mock_srv_ctx_new();
 395
 396     if (srv_ctx != NULL && ctx != NULL
 397             && OSSL_CMP_SRV_CTX_init(srv_ctx, ctx, process_cert_request,
 398                                      process_rr, process_genm, process_error,
 399                                      process_certConf, process_pollReq))
 400         return srv_ctx;
 401
 402     mock_srv_ctx_free(ctx);
 403     OSSL_CMP_SRV_CTX_free(srv_ctx);
 404     return NULL;
 405 }
 406
 407 void ossl_cmp_mock_srv_free(OSSL_CMP_SRV_CTX *srv_ctx)
 408 {
 409     if (srv_ctx != NULL)
 410         mock_srv_ctx_free(OSSL_CMP_SRV_CTX_get0_custom_ctx(srv_ctx));
 411     OSSL_CMP_SRV_CTX_free(srv_ctx);
 412 }