Allow extensions to be added to certificate requests, update the sample
[openssl.git] / crypto / x509v3 / v3_conf.c
1 /* v3_conf.c */
2 /* Written by Dr Stephen N Henson (shenson@bigfoot.com) for the OpenSSL
3  * project 1999.
4  */
5 /* ====================================================================
6  * Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
7  *
8  * Redistribution and use in source and binary forms, with or without
9  * modification, are permitted provided that the following conditions
10  * are met:
11  *
12  * 1. Redistributions of source code must retain the above copyright
13  *    notice, this list of conditions and the following disclaimer. 
14  *
15  * 2. Redistributions in binary form must reproduce the above copyright
16  *    notice, this list of conditions and the following disclaimer in
17  *    the documentation and/or other materials provided with the
18  *    distribution.
19  *
20  * 3. All advertising materials mentioning features or use of this
21  *    software must display the following acknowledgment:
22  *    "This product includes software developed by the OpenSSL Project
23  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
24  *
25  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
26  *    endorse or promote products derived from this software without
27  *    prior written permission. For written permission, please contact
28  *    licensing@OpenSSL.org.
29  *
30  * 5. Products derived from this software may not be called "OpenSSL"
31  *    nor may "OpenSSL" appear in their names without prior written
32  *    permission of the OpenSSL Project.
33  *
34  * 6. Redistributions of any form whatsoever must retain the following
35  *    acknowledgment:
36  *    "This product includes software developed by the OpenSSL Project
37  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
38  *
39  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
40  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
41  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
42  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
43  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
44  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
45  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
46  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
48  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
49  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
50  * OF THE POSSIBILITY OF SUCH DAMAGE.
51  * ====================================================================
52  *
53  * This product includes cryptographic software written by Eric Young
54  * (eay@cryptsoft.com).  This product includes software written by Tim
55  * Hudson (tjh@cryptsoft.com).
56  *
57  */
58 /* extension creation utilities */
59
60
61
62 #include <stdio.h>
63 #include <ctype.h>
64 #include "cryptlib.h"
65 #include <openssl/conf.h>
66 #include <openssl/x509.h>
67 #include <openssl/x509v3.h>
68
69 static int v3_check_critical(char **value);
70 static int v3_check_generic(char **value);
71 static X509_EXTENSION *do_ext_conf(LHASH *conf, X509V3_CTX *ctx, int ext_nid, int crit, char *value);
72 static X509_EXTENSION *v3_generic_extension(const char *ext, char *value, int crit, int type);
73 static char *conf_lhash_get_string(void *db, char *section, char *value);
74 static STACK_OF(CONF_VALUE) *conf_lhash_get_section(void *db, char *section);
75 static X509_EXTENSION *do_ext_i2d(X509V3_EXT_METHOD *method, int ext_nid,
76                                                  int crit, void *ext_struc);
77 /* LHASH *conf:  Config file    */
78 /* char *name:  Name    */
79 /* char *value:  Value    */
80 X509_EXTENSION *X509V3_EXT_conf(LHASH *conf, X509V3_CTX *ctx, char *name,
81              char *value)
82 {
83         int crit;
84         int ext_type;
85         X509_EXTENSION *ret;
86         crit = v3_check_critical(&value);
87         if((ext_type = v3_check_generic(&value))) 
88                 return v3_generic_extension(name, value, crit, ext_type);
89         ret = do_ext_conf(conf, ctx, OBJ_sn2nid(name), crit, value);
90         if(!ret) {
91                 X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_ERROR_IN_EXTENSION);
92                 ERR_add_error_data(4,"name=", name, ", value=", value);
93         }
94         return ret;
95 }
96
97 /* LHASH *conf:  Config file    */
98 /* char *value:  Value    */
99 X509_EXTENSION *X509V3_EXT_conf_nid(LHASH *conf, X509V3_CTX *ctx, int ext_nid,
100              char *value)
101 {
102         int crit;
103         int ext_type;
104         crit = v3_check_critical(&value);
105         if((ext_type = v3_check_generic(&value))) 
106                 return v3_generic_extension(OBJ_nid2sn(ext_nid),
107                                                          value, crit, ext_type);
108         return do_ext_conf(conf, ctx, ext_nid, crit, value);
109 }
110
111 /* LHASH *conf:  Config file    */
112 /* char *value:  Value    */
113 static X509_EXTENSION *do_ext_conf(LHASH *conf, X509V3_CTX *ctx, int ext_nid,
114              int crit, char *value)
115 {
116         X509V3_EXT_METHOD *method;
117         X509_EXTENSION *ext;
118         STACK_OF(CONF_VALUE) *nval;
119         void *ext_struc;
120         if(ext_nid == NID_undef) {
121                 X509V3err(X509V3_F_DO_EXT_CONF,X509V3_R_UNKNOWN_EXTENSION_NAME);
122                 return NULL;
123         }
124         if(!(method = X509V3_EXT_get_nid(ext_nid))) {
125                 X509V3err(X509V3_F_DO_EXT_CONF,X509V3_R_UNKNOWN_EXTENSION);
126                 return NULL;
127         }
128         /* Now get internal extension representation based on type */
129         if(method->v2i) {
130                 if(*value == '@') nval = CONF_get_section(conf, value + 1);
131                 else nval = X509V3_parse_list(value);
132                 if(!nval) {
133                         X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_INVALID_EXTENSION_STRING);
134                         ERR_add_error_data(4, "name=", OBJ_nid2sn(ext_nid), ",section=", value);
135                         return NULL;
136                 }
137                 ext_struc = method->v2i(method, ctx, nval);
138                 if(*value != '@') sk_CONF_VALUE_pop_free(nval,
139                                                          X509V3_conf_free);
140                 if(!ext_struc) return NULL;
141         } else if(method->s2i) {
142                 if(!(ext_struc = method->s2i(method, ctx, value))) return NULL;
143         } else if(method->r2i) {
144                 if(!ctx->db) {
145                         X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_NO_CONFIG_DATABASE);
146                         return NULL;
147                 }
148                 if(!(ext_struc = method->r2i(method, ctx, value))) return NULL;
149         } else {
150                 X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_EXTENSION_SETTING_NOT_SUPPORTED);
151                 ERR_add_error_data(2, "name=", OBJ_nid2sn(ext_nid));
152                 return NULL;
153         }
154
155         ext  = do_ext_i2d(method, ext_nid, crit, ext_struc);
156         method->ext_free(ext_struc);
157         return ext;
158
159 }
160
161 static X509_EXTENSION *do_ext_i2d(X509V3_EXT_METHOD *method, int ext_nid,
162                                                  int crit, void *ext_struc)
163 {
164         unsigned char *ext_der, *p;
165         int ext_len;
166         ASN1_OCTET_STRING *ext_oct;
167         X509_EXTENSION *ext;
168         /* Convert internal representation to DER */
169         ext_len = method->i2d(ext_struc, NULL);
170         if(!(ext_der = Malloc(ext_len))) goto merr;
171         p = ext_der;
172         method->i2d(ext_struc, &p);
173         if(!(ext_oct = ASN1_OCTET_STRING_new())) goto merr;
174         ext_oct->data = ext_der;
175         ext_oct->length = ext_len;
176         
177         ext = X509_EXTENSION_create_by_NID(NULL, ext_nid, crit, ext_oct);
178         if(!ext) goto merr;
179         ASN1_OCTET_STRING_free(ext_oct);
180
181         return ext;
182
183         merr:
184         X509V3err(X509V3_F_DO_EXT_I2D,ERR_R_MALLOC_FAILURE);
185         return NULL;
186
187 }
188
189 /* Given an internal structure, nid and critical flag create an extension */
190
191 X509_EXTENSION *X509V3_EXT_i2d(int ext_nid, int crit, void *ext_struc)
192 {
193         X509V3_EXT_METHOD *method;
194         if(!(method = X509V3_EXT_get_nid(ext_nid))) {
195                 X509V3err(X509V3_F_X509V3_EXT_I2D,X509V3_R_UNKNOWN_EXTENSION);
196                 return NULL;
197         }
198         return do_ext_i2d(method, ext_nid, crit, ext_struc);
199 }
200
201 /* Check the extension string for critical flag */
202 static int v3_check_critical(char **value)
203 {
204         char *p = *value;
205         if((strlen(p) < 9) || strncmp(p, "critical,", 9)) return 0;
206         p+=9;
207         while(isspace((unsigned char)*p)) p++;
208         *value = p;
209         return 1;
210 }
211
212 /* Check extension string for generic extension and return the type */
213 static int v3_check_generic(char **value)
214 {
215         char *p = *value;
216         if((strlen(p) < 4) || strncmp(p, "DER:,", 4)) return 0;
217         p+=4;
218         while(isspace((unsigned char)*p)) p++;
219         *value = p;
220         return 1;
221 }
222
223 /* Create a generic extension: for now just handle DER type */
224 static X509_EXTENSION *v3_generic_extension(const char *ext, char *value,
225              int crit, int type)
226 {
227 unsigned char *ext_der=NULL;
228 long ext_len;
229 ASN1_OBJECT *obj=NULL;
230 ASN1_OCTET_STRING *oct=NULL;
231 X509_EXTENSION *extension=NULL;
232 if(!(obj = OBJ_txt2obj(ext, 0))) {
233         X509V3err(X509V3_F_V3_GENERIC_EXTENSION,X509V3_R_EXTENSION_NAME_ERROR);
234         ERR_add_error_data(2, "name=", ext);
235         goto err;
236 }
237
238 if(!(ext_der = string_to_hex(value, &ext_len))) {
239         X509V3err(X509V3_F_V3_GENERIC_EXTENSION,X509V3_R_EXTENSION_VALUE_ERROR);
240         ERR_add_error_data(2, "value=", value);
241         goto err;
242 }
243
244 if(!(oct = ASN1_OCTET_STRING_new())) {
245         X509V3err(X509V3_F_V3_GENERIC_EXTENSION,ERR_R_MALLOC_FAILURE);
246         goto err;
247 }
248
249 oct->data = ext_der;
250 oct->length = ext_len;
251 ext_der = NULL;
252
253 extension = X509_EXTENSION_create_by_OBJ(NULL, obj, crit, oct);
254
255 err:
256 ASN1_OBJECT_free(obj);
257 ASN1_OCTET_STRING_free(oct);
258 if(ext_der) Free(ext_der);
259 return extension;
260 }
261
262
263 /* This is the main function: add a bunch of extensions based on a config file
264  * section
265  */
266
267 int X509V3_EXT_add_conf(LHASH *conf, X509V3_CTX *ctx, char *section,
268              X509 *cert)
269 {
270         X509_EXTENSION *ext;
271         STACK_OF(CONF_VALUE) *nval;
272         CONF_VALUE *val;        
273         int i;
274         if(!(nval = CONF_get_section(conf, section))) return 0;
275         for(i = 0; i < sk_CONF_VALUE_num(nval); i++) {
276                 val = sk_CONF_VALUE_value(nval, i);
277                 if(!(ext = X509V3_EXT_conf(conf, ctx, val->name, val->value)))
278                                                                 return 0;
279                 if(cert) X509_add_ext(cert, ext, -1);
280                 X509_EXTENSION_free(ext);
281         }
282         return 1;
283 }
284
285 /* Same as above but for a CRL */
286
287 int X509V3_EXT_CRL_add_conf(LHASH *conf, X509V3_CTX *ctx, char *section,
288              X509_CRL *crl)
289 {
290         X509_EXTENSION *ext;
291         STACK_OF(CONF_VALUE) *nval;
292         CONF_VALUE *val;        
293         int i;
294         if(!(nval = CONF_get_section(conf, section))) return 0;
295         for(i = 0; i < sk_CONF_VALUE_num(nval); i++) {
296                 val = sk_CONF_VALUE_value(nval, i);
297                 if(!(ext = X509V3_EXT_conf(conf, ctx, val->name, val->value)))
298                                                                 return 0;
299                 if(crl) X509_CRL_add_ext(crl, ext, -1);
300                 X509_EXTENSION_free(ext);
301         }
302         return 1;
303 }
304
305 /* Add extensions to certificate request */
306
307 int X509V3_EXT_REQ_add_conf(LHASH *conf, X509V3_CTX *ctx, char *section,
308              X509_REQ *req)
309 {
310         X509_EXTENSION *ext;
311         STACK_OF(X509_EXTENSION) *extlist = NULL;
312         STACK_OF(CONF_VALUE) *nval;
313         CONF_VALUE *val;        
314         int i;
315         if(!(nval = CONF_get_section(conf, section))) return 0;
316         for(i = 0; i < sk_CONF_VALUE_num(nval); i++) {
317                 val = sk_CONF_VALUE_value(nval, i);
318                 if(!(ext = X509V3_EXT_conf(conf, ctx, val->name, val->value)))
319                                                                 return 0;
320                 if(!extlist) extlist = sk_X509_EXTENSION_new_null();
321                 sk_X509_EXTENSION_push(extlist, ext);
322         }
323         if(req) i = X509_REQ_add_extensions(req, extlist);
324         else i = 1;
325         sk_X509_EXTENSION_pop_free(extlist, X509_EXTENSION_free);
326         return i;
327 }
328
329 /* Config database functions */
330
331 char * X509V3_get_string(X509V3_CTX *ctx, char *name, char *section)
332 {
333         if(ctx->db_meth->get_string)
334                         return ctx->db_meth->get_string(ctx->db, name, section);
335         return NULL;
336 }
337
338 STACK_OF(CONF_VALUE) * X509V3_get_section(X509V3_CTX *ctx, char *section)
339 {
340         if(ctx->db_meth->get_section)
341                         return ctx->db_meth->get_section(ctx->db, section);
342         return NULL;
343 }
344
345 void X509V3_string_free(X509V3_CTX *ctx, char *str)
346 {
347         if(!str) return;
348         if(ctx->db_meth->free_string)
349                         ctx->db_meth->free_string(ctx->db, str);
350 }
351
352 void X509V3_section_free(X509V3_CTX *ctx, STACK_OF(CONF_VALUE) *section)
353 {
354         if(!section) return;
355         if(ctx->db_meth->free_section)
356                         ctx->db_meth->free_section(ctx->db, section);
357 }
358
359 static char *conf_lhash_get_string(void *db, char *section, char *value)
360 {
361         return CONF_get_string(db, section, value);
362 }
363
364 static STACK_OF(CONF_VALUE) *conf_lhash_get_section(void *db, char *section)
365 {
366         return CONF_get_section(db, section);
367 }
368
369 static X509V3_CONF_METHOD conf_lhash_method = {
370 conf_lhash_get_string,
371 conf_lhash_get_section,
372 NULL,
373 NULL
374 };
375
376 void X509V3_set_conf_lhash(X509V3_CTX *ctx, LHASH *lhash)
377 {
378         ctx->db_meth = &conf_lhash_method;
379         ctx->db = lhash;
380 }
381
382 void X509V3_set_ctx(X509V3_CTX *ctx, X509 *issuer, X509 *subj, X509_REQ *req,
383              X509_CRL *crl, int flags)
384 {
385         ctx->issuer_cert = issuer;
386         ctx->subject_cert = subj;
387         ctx->crl = crl;
388         ctx->subject_req = req;
389         ctx->flags = flags;
390 }