Add -CAstore and similar to all openssl commands that have -CApath

[openssl.git] / apps / s_client.c
diff --git a/apps/s_client.c b/apps/s_client.c

index 392ab0223455880a7ec516e9242a2d2638f0aeaf..fa5cb95f685c0d9082dcdde7ca6d4f0066fc7541 100644 (file)
--- a/apps/s_client.c
+++ b/apps/s_client.c
@@ -581,9 +581,11 @@ typedef enum OPTION_choice {
      OPT_SSL3, OPT_SSL_CONFIG,
      OPT_TLS1_3, OPT_TLS1_2, OPT_TLS1_1, OPT_TLS1, OPT_DTLS, OPT_DTLS1,
      OPT_DTLS1_2, OPT_SCTP, OPT_TIMEOUT, OPT_MTU, OPT_KEYFORM, OPT_PASS,
-    OPT_CERT_CHAIN, OPT_CAPATH, OPT_NOCAPATH, OPT_CHAINCAPATH, OPT_VERIFYCAPATH,
-    OPT_KEY, OPT_RECONNECT, OPT_BUILD_CHAIN, OPT_CAFILE, OPT_NOCAFILE,
-    OPT_CHAINCAFILE, OPT_VERIFYCAFILE, OPT_NEXTPROTONEG, OPT_ALPN,
+    OPT_CERT_CHAIN, OPT_KEY, OPT_RECONNECT, OPT_BUILD_CHAIN,
+    OPT_NEXTPROTONEG, OPT_ALPN,
+    OPT_CAPATH, OPT_NOCAPATH, OPT_CHAINCAPATH, OPT_VERIFYCAPATH,
+    OPT_CAFILE, OPT_NOCAFILE, OPT_CHAINCAFILE, OPT_VERIFYCAFILE,
+    OPT_CASTORE, OPT_NOCASTORE, OPT_CHAINCASTORE, OPT_VERIFYCASTORE,
      OPT_SERVERINFO, OPT_STARTTLS, OPT_SERVERNAME, OPT_NOSERVERNAME, OPT_ASYNC,
      OPT_USE_SRTP, OPT_KEYMATEXPORT, OPT_KEYMATEXPORTLEN, OPT_PROTOHOST,
      OPT_MAXFRAGLEN, OPT_MAX_SEND_FRAG, OPT_SPLIT_SEND_FRAG, OPT_MAX_PIPELINES,
@@ -630,10 +632,13 @@ const OPTIONS s_client_options[] = {
      {"pass", OPT_PASS, 's', "Private key file pass phrase source"},
      {"CApath", OPT_CAPATH, '/', "PEM format directory of CA's"},
      {"CAfile", OPT_CAFILE, '<', "PEM format file of CA's"},
+    {"CAstore", OPT_CAFILE, ':', "URI to store of CA's"},
      {"no-CAfile", OPT_NOCAFILE, '-',
       "Do not load the default certificates file"},
      {"no-CApath", OPT_NOCAPATH, '-',
       "Do not load certificates from the default certificates directory"},
+    {"no-CAstore", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates store"},
      {"requestCAfile", OPT_REQCAFILE, '<',
        "PEM format file of CA names to send to the server"},
      {"dane_tlsa_domain", OPT_DANE_TLSA_DOMAIN, 's', "DANE TLSA base domain"},
@@ -700,6 +705,10 @@ const OPTIONS s_client_options[] = {
       "CA file for certificate chain (PEM format)"},
      {"verifyCAfile", OPT_VERIFYCAFILE, '<',
       "CA file for certificate verification (PEM format)"},
+    {"chainCAstore", OPT_CHAINCASTORE, ':',
+     "CA store URI for certificate chain"},
+    {"verifyCAstore", OPT_VERIFYCASTORE, ':',
+     "CA store URI for certificate verification"},
      {"nocommands", OPT_NOCMDS, '-', "Do not use interactive command letters"},
      {"servername", OPT_SERVERNAME, 's',
       "Set TLS extension servername (SNI) in ClientHello (default)"},
@@ -899,22 +908,23 @@ int s_client_main(int argc, char **argv)
      int dane_ee_no_name = 0;
      STACK_OF(X509_CRL) *crls = NULL;
      const SSL_METHOD *meth = TLS_client_method();
-    const char *CApath = NULL, *CAfile = NULL;
+    const char *CApath = NULL, *CAfile = NULL, *CAstore = NULL;
      char *cbuf = NULL, *sbuf = NULL, *mbuf = NULL;
      char *proxystr = NULL, *proxyuser = NULL;
      char *proxypassarg = NULL, *proxypass = NULL;
      char *connectstr = NULL, *bindstr = NULL;
      char *cert_file = NULL, *key_file = NULL, *chain_file = NULL;
-    char *chCApath = NULL, *chCAfile = NULL, *host = NULL;
+    char *chCApath = NULL, *chCAfile = NULL, *chCAstore = NULL, *host = NULL;
      char *port = OPENSSL_strdup(PORT);
      char *bindhost = NULL, *bindport = NULL;
-    char *passarg = NULL, *pass = NULL, *vfyCApath = NULL, *vfyCAfile = NULL;
+    char *passarg = NULL, *pass = NULL;
+    char *vfyCApath = NULL, *vfyCAfile = NULL, *vfyCAstore = NULL;
      char *ReqCAfile = NULL;
      char *sess_in = NULL, *crl_file = NULL, *p;
      const char *protohost = NULL;
      struct timeval timeout, *timeoutp;
      fd_set readfds, writefds;
-    int noCApath = 0, noCAfile = 0;
+    int noCApath = 0, noCAfile = 0, noCAstore = 0;
      int build_chain = 0, cbuf_len, cbuf_off, cert_format = FORMAT_PEM;
      int key_format = FORMAT_PEM, crlf = 0, full_log = 1, mbuf_len = 0;
      int prexit = 0;
@@ -1416,6 +1426,18 @@ int s_client_main(int argc, char **argv)
          case OPT_VERIFYCAFILE:
              vfyCAfile = opt_arg();
              break;
+        case OPT_CASTORE:
+            CAstore = opt_arg();
+            break;
+        case OPT_NOCASTORE:
+            noCAstore = 1;
+            break;
+        case OPT_CHAINCASTORE:
+            chCAstore = opt_arg();
+            break;
+        case OPT_VERIFYCASTORE:
+            vfyCAstore = opt_arg();
+            break;
          case OPT_DANE_TLSA_DOMAIN:
              dane_tlsa_domain = opt_arg();
              break;
@@ -1796,7 +1818,9 @@ int s_client_main(int argc, char **argv)
          goto end;
      }
  
-    if (!ssl_load_stores(ctx, vfyCApath, vfyCAfile, chCApath, chCAfile,
+    if (!ssl_load_stores(ctx,
+                         vfyCApath, vfyCAfile, vfyCAstore,
+                         chCApath, chCAfile, chCAstore,
                           crls, crl_download)) {
          BIO_printf(bio_err, "Error loading store locations\n");
          ERR_print_errors(bio_err);
@@ -1925,7 +1949,8 @@ int s_client_main(int argc, char **argv)
  
      SSL_CTX_set_verify(ctx, verify, verify_callback);
  
-    if (!ctx_set_verify_locations(ctx, CAfile, CApath, noCAfile, noCApath)) {
+    if (!ctx_set_verify_locations(ctx, CAfile, noCAfile, CApath, noCApath,
+                                  CAstore, noCAstore)) {
          ERR_print_errors(bio_err);
          goto end;
      }