crypto/x509v3/v3_lib.c

   1 /* v3_lib.c */
   2 /*
   3  * Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL project
   4  * 1999.
   5  */
   6 /* ====================================================================
   7  * Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
   8  *
   9  * Redistribution and use in source and binary forms, with or without
  10  * modification, are permitted provided that the following conditions
  11  * are met:
  12  *
  13  * 1. Redistributions of source code must retain the above copyright
  14  *    notice, this list of conditions and the following disclaimer.
  15  *
  16  * 2. Redistributions in binary form must reproduce the above copyright
  17  *    notice, this list of conditions and the following disclaimer in
  18  *    the documentation and/or other materials provided with the
  19  *    distribution.
  20  *
  21  * 3. All advertising materials mentioning features or use of this
  22  *    software must display the following acknowledgment:
  23  *    "This product includes software developed by the OpenSSL Project
  24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
  25  *
  26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  27  *    endorse or promote products derived from this software without
  28  *    prior written permission. For written permission, please contact
  29  *    licensing@OpenSSL.org.
  30  *
  31  * 5. Products derived from this software may not be called "OpenSSL"
  32  *    nor may "OpenSSL" appear in their names without prior written
  33  *    permission of the OpenSSL Project.
  34  *
  35  * 6. Redistributions of any form whatsoever must retain the following
  36  *    acknowledgment:
  37  *    "This product includes software developed by the OpenSSL Project
  38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
  39  *
  40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  51  * OF THE POSSIBILITY OF SUCH DAMAGE.
  52  * ====================================================================
  53  *
  54  * This product includes cryptographic software written by Eric Young
  55  * (eay@cryptsoft.com).  This product includes software written by Tim
  56  * Hudson (tjh@cryptsoft.com).
  57  *
  58  */
  59 /* X509 v3 extension utilities */
  60
  61 #include <stdio.h>
  62 #include "internal/cryptlib.h"
  63 #include <openssl/conf.h>
  64 #include <openssl/x509v3.h>
  65
  66 #include "ext_dat.h"
  67
  68 static STACK_OF(X509V3_EXT_METHOD) *ext_list = NULL;
  69
  70 static int ext_cmp(const X509V3_EXT_METHOD *const *a,
  71                    const X509V3_EXT_METHOD *const *b);
  72 static void ext_list_free(X509V3_EXT_METHOD *ext);
  73
  74 int X509V3_EXT_add(X509V3_EXT_METHOD *ext)
  75 {
  76     if (ext_list == NULL
  77         && (ext_list = sk_X509V3_EXT_METHOD_new(ext_cmp)) == NULL) {
  78         X509V3err(X509V3_F_X509V3_EXT_ADD, ERR_R_MALLOC_FAILURE);
  79         return 0;
  80     }
  81     if (!sk_X509V3_EXT_METHOD_push(ext_list, ext)) {
  82         X509V3err(X509V3_F_X509V3_EXT_ADD, ERR_R_MALLOC_FAILURE);
  83         return 0;
  84     }
  85     return 1;
  86 }
  87
  88 static int ext_cmp(const X509V3_EXT_METHOD *const *a,
  89                    const X509V3_EXT_METHOD *const *b)
  90 {
  91     return ((*a)->ext_nid - (*b)->ext_nid);
  92 }
  93
  94 DECLARE_OBJ_BSEARCH_CMP_FN(const X509V3_EXT_METHOD *,
  95                            const X509V3_EXT_METHOD *, ext);
  96 IMPLEMENT_OBJ_BSEARCH_CMP_FN(const X509V3_EXT_METHOD *,
  97                              const X509V3_EXT_METHOD *, ext);
  98
  99 const X509V3_EXT_METHOD *X509V3_EXT_get_nid(int nid)
 100 {
 101     X509V3_EXT_METHOD tmp;
 102     const X509V3_EXT_METHOD *t = &tmp, *const *ret;
 103     int idx;
 104     if (nid < 0)
 105         return NULL;
 106     tmp.ext_nid = nid;
 107     ret = OBJ_bsearch_ext(&t, standard_exts, STANDARD_EXTENSION_COUNT);
 108     if (ret)
 109         return *ret;
 110     if (!ext_list)
 111         return NULL;
 112     idx = sk_X509V3_EXT_METHOD_find(ext_list, &tmp);
 113     if (idx == -1)
 114         return NULL;
 115     return sk_X509V3_EXT_METHOD_value(ext_list, idx);
 116 }
 117
 118 const X509V3_EXT_METHOD *X509V3_EXT_get(X509_EXTENSION *ext)
 119 {
 120     int nid;
 121     if ((nid = OBJ_obj2nid(X509_EXTENSION_get_object(ext))) == NID_undef)
 122         return NULL;
 123     return X509V3_EXT_get_nid(nid);
 124 }
 125
 126 int X509V3_EXT_add_list(X509V3_EXT_METHOD *extlist)
 127 {
 128     for (; extlist->ext_nid != -1; extlist++)
 129         if (!X509V3_EXT_add(extlist))
 130             return 0;
 131     return 1;
 132 }
 133
 134 int X509V3_EXT_add_alias(int nid_to, int nid_from)
 135 {
 136     const X509V3_EXT_METHOD *ext;
 137     X509V3_EXT_METHOD *tmpext;
 138
 139     if ((ext = X509V3_EXT_get_nid(nid_from)) == NULL) {
 140         X509V3err(X509V3_F_X509V3_EXT_ADD_ALIAS, X509V3_R_EXTENSION_NOT_FOUND);
 141         return 0;
 142     }
 143     if ((tmpext = OPENSSL_malloc(sizeof(*tmpext))) == NULL) {
 144         X509V3err(X509V3_F_X509V3_EXT_ADD_ALIAS, ERR_R_MALLOC_FAILURE);
 145         return 0;
 146     }
 147     *tmpext = *ext;
 148     tmpext->ext_nid = nid_to;
 149     tmpext->ext_flags |= X509V3_EXT_DYNAMIC;
 150     return X509V3_EXT_add(tmpext);
 151 }
 152
 153 void X509V3_EXT_cleanup(void)
 154 {
 155     sk_X509V3_EXT_METHOD_pop_free(ext_list, ext_list_free);
 156     ext_list = NULL;
 157 }
 158
 159 static void ext_list_free(X509V3_EXT_METHOD *ext)
 160 {
 161     if (ext->ext_flags & X509V3_EXT_DYNAMIC)
 162         OPENSSL_free(ext);
 163 }
 164
 165 /*
 166  * Legacy function: we don't need to add standard extensions any more because
 167  * they are now kept in ext_dat.h.
 168  */
 169
 170 int X509V3_add_standard_extensions(void)
 171 {
 172     return 1;
 173 }
 174
 175 /* Return an extension internal structure */
 176
 177 void *X509V3_EXT_d2i(X509_EXTENSION *ext)
 178 {
 179     const X509V3_EXT_METHOD *method;
 180     const unsigned char *p;
 181     ASN1_STRING *extvalue;
 182     int extlen;
 183
 184     if ((method = X509V3_EXT_get(ext)) == NULL)
 185         return NULL;
 186     extvalue = X509_EXTENSION_get_data(ext);
 187     p = ASN1_STRING_data(extvalue);
 188     extlen = ASN1_STRING_length(extvalue);
 189     if (method->it)
 190         return ASN1_item_d2i(NULL, &p, extlen, ASN1_ITEM_ptr(method->it));
 191     return method->d2i(NULL, &p, extlen);
 192 }
 193
 194 /*-
 195  * Get critical flag and decoded version of extension from a NID.
 196  * The "idx" variable returns the last found extension and can
 197  * be used to retrieve multiple extensions of the same NID.
 198  * However multiple extensions with the same NID is usually
 199  * due to a badly encoded certificate so if idx is NULL we
 200  * choke if multiple extensions exist.
 201  * The "crit" variable is set to the critical value.
 202  * The return value is the decoded extension or NULL on
 203  * error. The actual error can have several different causes,
 204  * the value of *crit reflects the cause:
 205  * >= 0, extension found but not decoded (reflects critical value).
 206  * -1 extension not found.
 207  * -2 extension occurs more than once.
 208  */
 209
 210 void *X509V3_get_d2i(STACK_OF(X509_EXTENSION) *x, int nid, int *crit,
 211                      int *idx)
 212 {
 213     int lastpos, i;
 214     X509_EXTENSION *ex, *found_ex = NULL;
 215     if (!x) {
 216         if (idx)
 217             *idx = -1;
 218         if (crit)
 219             *crit = -1;
 220         return NULL;
 221     }
 222     if (idx)
 223         lastpos = *idx + 1;
 224     else
 225         lastpos = 0;
 226     if (lastpos < 0)
 227         lastpos = 0;
 228     for (i = lastpos; i < sk_X509_EXTENSION_num(x); i++) {
 229         ex = sk_X509_EXTENSION_value(x, i);
 230         if (OBJ_obj2nid(X509_EXTENSION_get_object(ex)) == nid) {
 231             if (idx) {
 232                 *idx = i;
 233                 found_ex = ex;
 234                 break;
 235             } else if (found_ex) {
 236                 /* Found more than one */
 237                 if (crit)
 238                     *crit = -2;
 239                 return NULL;
 240             }
 241             found_ex = ex;
 242         }
 243     }
 244     if (found_ex) {
 245         /* Found it */
 246         if (crit)
 247             *crit = X509_EXTENSION_get_critical(found_ex);
 248         return X509V3_EXT_d2i(found_ex);
 249     }
 250
 251     /* Extension not found */
 252     if (idx)
 253         *idx = -1;
 254     if (crit)
 255         *crit = -1;
 256     return NULL;
 257 }
 258
 259 /*
 260  * This function is a general extension append, replace and delete utility.
 261  * The precise operation is governed by the 'flags' value. The 'crit' and
 262  * 'value' arguments (if relevant) are the extensions internal structure.
 263  */
 264
 265 int X509V3_add1_i2d(STACK_OF(X509_EXTENSION) **x, int nid, void *value,
 266                     int crit, unsigned long flags)
 267 {
 268     int extidx = -1;
 269     int errcode;
 270     X509_EXTENSION *ext, *extmp;
 271     unsigned long ext_op = flags & X509V3_ADD_OP_MASK;
 272
 273     /*
 274      * If appending we don't care if it exists, otherwise look for existing
 275      * extension.
 276      */
 277     if (ext_op != X509V3_ADD_APPEND)
 278         extidx = X509v3_get_ext_by_NID(*x, nid, -1);
 279
 280     /* See if extension exists */
 281     if (extidx >= 0) {
 282         /* If keep existing, nothing to do */
 283         if (ext_op == X509V3_ADD_KEEP_EXISTING)
 284             return 1;
 285         /* If default then its an error */
 286         if (ext_op == X509V3_ADD_DEFAULT) {
 287             errcode = X509V3_R_EXTENSION_EXISTS;
 288             goto err;
 289         }
 290         /* If delete, just delete it */
 291         if (ext_op == X509V3_ADD_DELETE) {
 292             if (!sk_X509_EXTENSION_delete(*x, extidx))
 293                 return -1;
 294             return 1;
 295         }
 296     } else {
 297         /*
 298          * If replace existing or delete, error since extension must exist
 299          */
 300         if ((ext_op == X509V3_ADD_REPLACE_EXISTING) ||
 301             (ext_op == X509V3_ADD_DELETE)) {
 302             errcode = X509V3_R_EXTENSION_NOT_FOUND;
 303             goto err;
 304         }
 305     }
 306
 307     /*
 308      * If we get this far then we have to create an extension: could have
 309      * some flags for alternative encoding schemes...
 310      */
 311
 312     ext = X509V3_EXT_i2d(nid, crit, value);
 313
 314     if (!ext) {
 315         X509V3err(X509V3_F_X509V3_ADD1_I2D,
 316                   X509V3_R_ERROR_CREATING_EXTENSION);
 317         return 0;
 318     }
 319
 320     /* If extension exists replace it.. */
 321     if (extidx >= 0) {
 322         extmp = sk_X509_EXTENSION_value(*x, extidx);
 323         X509_EXTENSION_free(extmp);
 324         if (!sk_X509_EXTENSION_set(*x, extidx, ext))
 325             return -1;
 326         return 1;
 327     }
 328
 329     if (*x == NULL
 330         && (*x = sk_X509_EXTENSION_new_null()) == NULL)
 331         return -1;
 332     if (!sk_X509_EXTENSION_push(*x, ext))
 333         return -1;
 334
 335     return 1;
 336
 337  err:
 338     if (!(flags & X509V3_ADD_SILENT))
 339         X509V3err(X509V3_F_X509V3_ADD1_I2D, errcode);
 340     return 0;
 341 }