apps: instead of varying implementation, make setup_engine a function always
[openssl.git] / apps / apps.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #if !defined(_POSIX_C_SOURCE) && defined(OPENSSL_SYS_VMS)
11 /*
12  * On VMS, you need to define this to get the declaration of fileno().  The
13  * value 2 is to make sure no function defined in POSIX-2 is left undefined.
14  */
15 # define _POSIX_C_SOURCE 2
16 #endif
17
18 #include <stdio.h>
19 #include <stdlib.h>
20 #include <string.h>
21 #ifndef NO_SYS_TYPES_H
22 # include <sys/types.h>
23 #endif
24 #ifndef OPENSSL_NO_POSIX_IO
25 # include <sys/stat.h>
26 # include <fcntl.h>
27 #endif
28 #include <ctype.h>
29 #include <errno.h>
30 #include <openssl/err.h>
31 #include <openssl/x509.h>
32 #include <openssl/x509v3.h>
33 #include <openssl/pem.h>
34 #include <openssl/pkcs12.h>
35 #include <openssl/ui.h>
36 #include <openssl/safestack.h>
37 #ifndef OPENSSL_NO_ENGINE
38 # include <openssl/engine.h>
39 #endif
40 #ifndef OPENSSL_NO_RSA
41 # include <openssl/rsa.h>
42 #endif
43 #include <openssl/bn.h>
44 #include <openssl/ssl.h>
45 #include "s_apps.h"
46 #include "apps.h"
47
48 #ifdef _WIN32
49 static int WIN32_rename(const char *from, const char *to);
50 # define rename(from,to) WIN32_rename((from),(to))
51 #endif
52
53 typedef struct {
54     const char *name;
55     unsigned long flag;
56     unsigned long mask;
57 } NAME_EX_TBL;
58
59 #if !defined(OPENSSL_NO_UI) || !defined(OPENSSL_NO_ENGINE)
60 static UI_METHOD *ui_method = NULL;
61 #endif
62
63 static int set_table_opts(unsigned long *flags, const char *arg,
64                           const NAME_EX_TBL * in_tbl);
65 static int set_multi_opts(unsigned long *flags, const char *arg,
66                           const NAME_EX_TBL * in_tbl);
67
68 int app_init(long mesgwin);
69
70 int chopup_args(ARGS *arg, char *buf)
71 {
72     int quoted;
73     char c = '\0', *p = NULL;
74
75     arg->argc = 0;
76     if (arg->size == 0) {
77         arg->size = 20;
78         arg->argv = app_malloc(sizeof(*arg->argv) * arg->size, "argv space");
79     }
80
81     for (p = buf;;) {
82         /* Skip whitespace. */
83         while (*p && isspace(_UC(*p)))
84             p++;
85         if (!*p)
86             break;
87
88         /* The start of something good :-) */
89         if (arg->argc >= arg->size) {
90             char **tmp;
91             arg->size += 20;
92             tmp = OPENSSL_realloc(arg->argv, sizeof(*arg->argv) * arg->size);
93             if (tmp == NULL)
94                 return 0;
95             arg->argv = tmp;
96         }
97         quoted = *p == '\'' || *p == '"';
98         if (quoted)
99             c = *p++;
100         arg->argv[arg->argc++] = p;
101
102         /* now look for the end of this */
103         if (quoted) {
104             while (*p && *p != c)
105                 p++;
106             *p++ = '\0';
107         } else {
108             while (*p && !isspace(_UC(*p)))
109                 p++;
110             if (*p)
111                 *p++ = '\0';
112         }
113     }
114     arg->argv[arg->argc] = NULL;
115     return (1);
116 }
117
118 #ifndef APP_INIT
119 int app_init(long mesgwin)
120 {
121     return (1);
122 }
123 #endif
124
125 int ctx_set_verify_locations(SSL_CTX *ctx, const char *CAfile,
126                              const char *CApath, int noCAfile, int noCApath)
127 {
128     if (CAfile == NULL && CApath == NULL) {
129         if (!noCAfile && SSL_CTX_set_default_verify_file(ctx) <= 0)
130             return 0;
131         if (!noCApath && SSL_CTX_set_default_verify_dir(ctx) <= 0)
132             return 0;
133
134         return 1;
135     }
136     return SSL_CTX_load_verify_locations(ctx, CAfile, CApath);
137 }
138
139 #ifndef OPENSSL_NO_CT
140
141 int ctx_set_ctlog_list_file(SSL_CTX *ctx, const char *path)
142 {
143     if (path == NULL) {
144         return SSL_CTX_set_default_ctlog_list_file(ctx);
145     }
146
147     return SSL_CTX_set_ctlog_list_file(ctx, path);
148 }
149
150 #endif
151
152 int dump_cert_text(BIO *out, X509 *x)
153 {
154     char *p;
155
156     p = X509_NAME_oneline(X509_get_subject_name(x), NULL, 0);
157     BIO_puts(out, "subject=");
158     BIO_puts(out, p);
159     OPENSSL_free(p);
160
161     p = X509_NAME_oneline(X509_get_issuer_name(x), NULL, 0);
162     BIO_puts(out, "\nissuer=");
163     BIO_puts(out, p);
164     BIO_puts(out, "\n");
165     OPENSSL_free(p);
166
167     return 0;
168 }
169
170 #ifndef OPENSSL_NO_UI
171 static int ui_open(UI *ui)
172 {
173     return UI_method_get_opener(UI_OpenSSL())(ui);
174 }
175
176 static int ui_read(UI *ui, UI_STRING *uis)
177 {
178     if (UI_get_input_flags(uis) & UI_INPUT_FLAG_DEFAULT_PWD
179         && UI_get0_user_data(ui)) {
180         switch (UI_get_string_type(uis)) {
181         case UIT_PROMPT:
182         case UIT_VERIFY:
183             {
184                 const char *password =
185                     ((PW_CB_DATA *)UI_get0_user_data(ui))->password;
186                 if (password && password[0] != '\0') {
187                     UI_set_result(ui, uis, password);
188                     return 1;
189                 }
190             }
191             break;
192         case UIT_NONE:
193         case UIT_BOOLEAN:
194         case UIT_INFO:
195         case UIT_ERROR:
196             break;
197         }
198     }
199     return UI_method_get_reader(UI_OpenSSL())(ui, uis);
200 }
201
202 static int ui_write(UI *ui, UI_STRING *uis)
203 {
204     if (UI_get_input_flags(uis) & UI_INPUT_FLAG_DEFAULT_PWD
205         && UI_get0_user_data(ui)) {
206         switch (UI_get_string_type(uis)) {
207         case UIT_PROMPT:
208         case UIT_VERIFY:
209             {
210                 const char *password =
211                     ((PW_CB_DATA *)UI_get0_user_data(ui))->password;
212                 if (password && password[0] != '\0')
213                     return 1;
214             }
215             break;
216         case UIT_NONE:
217         case UIT_BOOLEAN:
218         case UIT_INFO:
219         case UIT_ERROR:
220             break;
221         }
222     }
223     return UI_method_get_writer(UI_OpenSSL())(ui, uis);
224 }
225
226 static int ui_close(UI *ui)
227 {
228     return UI_method_get_closer(UI_OpenSSL())(ui);
229 }
230
231 int setup_ui_method(void)
232 {
233     ui_method = UI_create_method("OpenSSL application user interface");
234     UI_method_set_opener(ui_method, ui_open);
235     UI_method_set_reader(ui_method, ui_read);
236     UI_method_set_writer(ui_method, ui_write);
237     UI_method_set_closer(ui_method, ui_close);
238     return 0;
239 }
240
241 void destroy_ui_method(void)
242 {
243     if (ui_method) {
244         UI_destroy_method(ui_method);
245         ui_method = NULL;
246     }
247 }
248 #endif
249
250 int password_callback(char *buf, int bufsiz, int verify, PW_CB_DATA *cb_tmp)
251 {
252     int res = 0;
253 #ifndef OPENSSL_NO_UI
254     UI *ui = NULL;
255     const char *prompt_info = NULL;
256 #endif
257     const char *password = NULL;
258     PW_CB_DATA *cb_data = (PW_CB_DATA *)cb_tmp;
259
260     if (cb_data) {
261         if (cb_data->password)
262             password = cb_data->password;
263 #ifndef OPENSSL_NO_UI
264         if (cb_data->prompt_info)
265             prompt_info = cb_data->prompt_info;
266 #endif
267     }
268
269     if (password) {
270         res = strlen(password);
271         if (res > bufsiz)
272             res = bufsiz;
273         memcpy(buf, password, res);
274         return res;
275     }
276
277 #ifndef OPENSSL_NO_UI
278     ui = UI_new_method(ui_method);
279     if (ui) {
280         int ok = 0;
281         char *buff = NULL;
282         int ui_flags = 0;
283         char *prompt;
284
285         prompt = UI_construct_prompt(ui, "pass phrase", prompt_info);
286         if (!prompt) {
287             BIO_printf(bio_err, "Out of memory\n");
288             UI_free(ui);
289             return 0;
290         }
291
292         ui_flags |= UI_INPUT_FLAG_DEFAULT_PWD;
293         UI_ctrl(ui, UI_CTRL_PRINT_ERRORS, 1, 0, 0);
294
295         if (ok >= 0)
296             ok = UI_add_input_string(ui, prompt, ui_flags, buf,
297                                      PW_MIN_LENGTH, bufsiz - 1);
298         if (ok >= 0 && verify) {
299             buff = app_malloc(bufsiz, "password buffer");
300             ok = UI_add_verify_string(ui, prompt, ui_flags, buff,
301                                       PW_MIN_LENGTH, bufsiz - 1, buf);
302         }
303         if (ok >= 0)
304             do {
305                 ok = UI_process(ui);
306             }
307             while (ok < 0 && UI_ctrl(ui, UI_CTRL_IS_REDOABLE, 0, 0, 0));
308
309         OPENSSL_clear_free(buff, (unsigned int)bufsiz);
310
311         if (ok >= 0)
312             res = strlen(buf);
313         if (ok == -1) {
314             BIO_printf(bio_err, "User interface error\n");
315             ERR_print_errors(bio_err);
316             OPENSSL_cleanse(buf, (unsigned int)bufsiz);
317             res = 0;
318         }
319         if (ok == -2) {
320             BIO_printf(bio_err, "aborted!\n");
321             OPENSSL_cleanse(buf, (unsigned int)bufsiz);
322             res = 0;
323         }
324         UI_free(ui);
325         OPENSSL_free(prompt);
326     }
327 #endif
328     return res;
329 }
330
331 static char *app_get_pass(const char *arg, int keepbio);
332
333 int app_passwd(const char *arg1, const char *arg2, char **pass1, char **pass2)
334 {
335     int same;
336     if (!arg2 || !arg1 || strcmp(arg1, arg2))
337         same = 0;
338     else
339         same = 1;
340     if (arg1) {
341         *pass1 = app_get_pass(arg1, same);
342         if (!*pass1)
343             return 0;
344     } else if (pass1)
345         *pass1 = NULL;
346     if (arg2) {
347         *pass2 = app_get_pass(arg2, same ? 2 : 0);
348         if (!*pass2)
349             return 0;
350     } else if (pass2)
351         *pass2 = NULL;
352     return 1;
353 }
354
355 static char *app_get_pass(const char *arg, int keepbio)
356 {
357     char *tmp, tpass[APP_PASS_LEN];
358     static BIO *pwdbio = NULL;
359     int i;
360
361     if (strncmp(arg, "pass:", 5) == 0)
362         return OPENSSL_strdup(arg + 5);
363     if (strncmp(arg, "env:", 4) == 0) {
364         tmp = getenv(arg + 4);
365         if (!tmp) {
366             BIO_printf(bio_err, "Can't read environment variable %s\n", arg + 4);
367             return NULL;
368         }
369         return OPENSSL_strdup(tmp);
370     }
371     if (!keepbio || !pwdbio) {
372         if (strncmp(arg, "file:", 5) == 0) {
373             pwdbio = BIO_new_file(arg + 5, "r");
374             if (!pwdbio) {
375                 BIO_printf(bio_err, "Can't open file %s\n", arg + 5);
376                 return NULL;
377             }
378 #if !defined(_WIN32)
379             /*
380              * Under _WIN32, which covers even Win64 and CE, file
381              * descriptors referenced by BIO_s_fd are not inherited
382              * by child process and therefore below is not an option.
383              * It could have been an option if bss_fd.c was operating
384              * on real Windows descriptors, such as those obtained
385              * with CreateFile.
386              */
387         } else if (strncmp(arg, "fd:", 3) == 0) {
388             BIO *btmp;
389             i = atoi(arg + 3);
390             if (i >= 0)
391                 pwdbio = BIO_new_fd(i, BIO_NOCLOSE);
392             if ((i < 0) || !pwdbio) {
393                 BIO_printf(bio_err, "Can't access file descriptor %s\n", arg + 3);
394                 return NULL;
395             }
396             /*
397              * Can't do BIO_gets on an fd BIO so add a buffering BIO
398              */
399             btmp = BIO_new(BIO_f_buffer());
400             pwdbio = BIO_push(btmp, pwdbio);
401 #endif
402         } else if (strcmp(arg, "stdin") == 0) {
403             pwdbio = dup_bio_in(FORMAT_TEXT);
404             if (!pwdbio) {
405                 BIO_printf(bio_err, "Can't open BIO for stdin\n");
406                 return NULL;
407             }
408         } else {
409             BIO_printf(bio_err, "Invalid password argument \"%s\"\n", arg);
410             return NULL;
411         }
412     }
413     i = BIO_gets(pwdbio, tpass, APP_PASS_LEN);
414     if (keepbio != 1) {
415         BIO_free_all(pwdbio);
416         pwdbio = NULL;
417     }
418     if (i <= 0) {
419         BIO_printf(bio_err, "Error reading password from BIO\n");
420         return NULL;
421     }
422     tmp = strchr(tpass, '\n');
423     if (tmp)
424         *tmp = 0;
425     return OPENSSL_strdup(tpass);
426 }
427
428 static CONF *app_load_config_(BIO *in, const char *filename)
429 {
430     long errorline = -1;
431     CONF *conf;
432     int i;
433
434     conf = NCONF_new(NULL);
435     i = NCONF_load_bio(conf, in, &errorline);
436     if (i > 0)
437         return conf;
438
439     if (errorline <= 0)
440         BIO_printf(bio_err, "%s: Can't load config file \"%s\"\n",
441                    opt_getprog(), filename);
442     else
443         BIO_printf(bio_err, "%s: Error on line %ld of config file \"%s\"\n",
444                    opt_getprog(), errorline, filename);
445     NCONF_free(conf);
446     return NULL;
447 }
448 CONF *app_load_config(const char *filename)
449 {
450     BIO *in;
451     CONF *conf;
452
453     in = bio_open_default(filename, 'r', FORMAT_TEXT);
454     if (in == NULL)
455         return NULL;
456
457     conf = app_load_config_(in, filename);
458     BIO_free(in);
459     return conf;
460 }
461 CONF *app_load_config_quiet(const char *filename)
462 {
463     BIO *in;
464     CONF *conf;
465
466     in = bio_open_default_quiet(filename, 'r', FORMAT_TEXT);
467     if (in == NULL)
468         return NULL;
469
470     conf = app_load_config_(in, filename);
471     BIO_free(in);
472     return conf;
473 }
474
475 int app_load_modules(const CONF *config)
476 {
477     CONF *to_free = NULL;
478
479     if (config == NULL)
480         config = to_free = app_load_config_quiet(default_config_file);
481     if (config == NULL)
482         return 1;
483
484     if (CONF_modules_load(config, NULL, 0) <= 0) {
485         BIO_printf(bio_err, "Error configuring OpenSSL modules\n");
486         ERR_print_errors(bio_err);
487         NCONF_free(to_free);
488         return 0;
489     }
490     NCONF_free(to_free);
491     return 1;
492 }
493
494 int add_oid_section(CONF *conf)
495 {
496     char *p;
497     STACK_OF(CONF_VALUE) *sktmp;
498     CONF_VALUE *cnf;
499     int i;
500
501     if ((p = NCONF_get_string(conf, NULL, "oid_section")) == NULL) {
502         ERR_clear_error();
503         return 1;
504     }
505     if ((sktmp = NCONF_get_section(conf, p)) == NULL) {
506         BIO_printf(bio_err, "problem loading oid section %s\n", p);
507         return 0;
508     }
509     for (i = 0; i < sk_CONF_VALUE_num(sktmp); i++) {
510         cnf = sk_CONF_VALUE_value(sktmp, i);
511         if (OBJ_create(cnf->value, cnf->name, cnf->name) == NID_undef) {
512             BIO_printf(bio_err, "problem creating object %s=%s\n",
513                        cnf->name, cnf->value);
514             return 0;
515         }
516     }
517     return 1;
518 }
519
520 static int load_pkcs12(BIO *in, const char *desc,
521                        pem_password_cb *pem_cb, void *cb_data,
522                        EVP_PKEY **pkey, X509 **cert, STACK_OF(X509) **ca)
523 {
524     const char *pass;
525     char tpass[PEM_BUFSIZE];
526     int len, ret = 0;
527     PKCS12 *p12;
528     p12 = d2i_PKCS12_bio(in, NULL);
529     if (p12 == NULL) {
530         BIO_printf(bio_err, "Error loading PKCS12 file for %s\n", desc);
531         goto die;
532     }
533     /* See if an empty password will do */
534     if (PKCS12_verify_mac(p12, "", 0) || PKCS12_verify_mac(p12, NULL, 0))
535         pass = "";
536     else {
537         if (!pem_cb)
538             pem_cb = (pem_password_cb *)password_callback;
539         len = pem_cb(tpass, PEM_BUFSIZE, 0, cb_data);
540         if (len < 0) {
541             BIO_printf(bio_err, "Passphrase callback error for %s\n", desc);
542             goto die;
543         }
544         if (len < PEM_BUFSIZE)
545             tpass[len] = 0;
546         if (!PKCS12_verify_mac(p12, tpass, len)) {
547             BIO_printf(bio_err,
548                        "Mac verify error (wrong password?) in PKCS12 file for %s\n",
549                        desc);
550             goto die;
551         }
552         pass = tpass;
553     }
554     ret = PKCS12_parse(p12, pass, pkey, cert, ca);
555  die:
556     PKCS12_free(p12);
557     return ret;
558 }
559
560 #if !defined(OPENSSL_NO_OCSP) && !defined(OPENSSL_NO_SOCK)
561 static int load_cert_crl_http(const char *url, X509 **pcert, X509_CRL **pcrl)
562 {
563     char *host = NULL, *port = NULL, *path = NULL;
564     BIO *bio = NULL;
565     OCSP_REQ_CTX *rctx = NULL;
566     int use_ssl, rv = 0;
567     if (!OCSP_parse_url(url, &host, &port, &path, &use_ssl))
568         goto err;
569     if (use_ssl) {
570         BIO_puts(bio_err, "https not supported\n");
571         goto err;
572     }
573     bio = BIO_new_connect(host);
574     if (!bio || !BIO_set_conn_port(bio, port))
575         goto err;
576     rctx = OCSP_REQ_CTX_new(bio, 1024);
577     if (rctx == NULL)
578         goto err;
579     if (!OCSP_REQ_CTX_http(rctx, "GET", path))
580         goto err;
581     if (!OCSP_REQ_CTX_add1_header(rctx, "Host", host))
582         goto err;
583     if (pcert) {
584         do {
585             rv = X509_http_nbio(rctx, pcert);
586         } while (rv == -1);
587     } else {
588         do {
589             rv = X509_CRL_http_nbio(rctx, pcrl);
590         } while (rv == -1);
591     }
592
593  err:
594     OPENSSL_free(host);
595     OPENSSL_free(path);
596     OPENSSL_free(port);
597     if (bio)
598         BIO_free_all(bio);
599     OCSP_REQ_CTX_free(rctx);
600     if (rv != 1) {
601         BIO_printf(bio_err, "Error loading %s from %s\n",
602                    pcert ? "certificate" : "CRL", url);
603         ERR_print_errors(bio_err);
604     }
605     return rv;
606 }
607 #endif
608
609 X509 *load_cert(const char *file, int format, const char *cert_descrip)
610 {
611     X509 *x = NULL;
612     BIO *cert;
613
614     if (format == FORMAT_HTTP) {
615 #if !defined(OPENSSL_NO_OCSP) && !defined(OPENSSL_NO_SOCK)
616         load_cert_crl_http(file, &x, NULL);
617 #endif
618         return x;
619     }
620
621     if (file == NULL) {
622         unbuffer(stdin);
623         cert = dup_bio_in(format);
624     } else
625         cert = bio_open_default(file, 'r', format);
626     if (cert == NULL)
627         goto end;
628
629     if (format == FORMAT_ASN1)
630         x = d2i_X509_bio(cert, NULL);
631     else if (format == FORMAT_PEM)
632         x = PEM_read_bio_X509_AUX(cert, NULL,
633                                   (pem_password_cb *)password_callback, NULL);
634     else if (format == FORMAT_PKCS12) {
635         if (!load_pkcs12(cert, cert_descrip, NULL, NULL, NULL, &x, NULL))
636             goto end;
637     } else {
638         BIO_printf(bio_err, "bad input format specified for %s\n", cert_descrip);
639         goto end;
640     }
641  end:
642     if (x == NULL) {
643         BIO_printf(bio_err, "unable to load certificate\n");
644         ERR_print_errors(bio_err);
645     }
646     BIO_free(cert);
647     return (x);
648 }
649
650 X509_CRL *load_crl(const char *infile, int format)
651 {
652     X509_CRL *x = NULL;
653     BIO *in = NULL;
654
655     if (format == FORMAT_HTTP) {
656 #if !defined(OPENSSL_NO_OCSP) && !defined(OPENSSL_NO_SOCK)
657         load_cert_crl_http(infile, NULL, &x);
658 #endif
659         return x;
660     }
661
662     in = bio_open_default(infile, 'r', format);
663     if (in == NULL)
664         goto end;
665     if (format == FORMAT_ASN1)
666         x = d2i_X509_CRL_bio(in, NULL);
667     else if (format == FORMAT_PEM)
668         x = PEM_read_bio_X509_CRL(in, NULL, NULL, NULL);
669     else {
670         BIO_printf(bio_err, "bad input format specified for input crl\n");
671         goto end;
672     }
673     if (x == NULL) {
674         BIO_printf(bio_err, "unable to load CRL\n");
675         ERR_print_errors(bio_err);
676         goto end;
677     }
678
679  end:
680     BIO_free(in);
681     return (x);
682 }
683
684 EVP_PKEY *load_key(const char *file, int format, int maybe_stdin,
685                    const char *pass, ENGINE *e, const char *key_descrip)
686 {
687     BIO *key = NULL;
688     EVP_PKEY *pkey = NULL;
689     PW_CB_DATA cb_data;
690
691     cb_data.password = pass;
692     cb_data.prompt_info = file;
693
694     if (file == NULL && (!maybe_stdin || format == FORMAT_ENGINE)) {
695         BIO_printf(bio_err, "no keyfile specified\n");
696         goto end;
697     }
698     if (format == FORMAT_ENGINE) {
699         if (e == NULL)
700             BIO_printf(bio_err, "no engine specified\n");
701         else {
702 #ifndef OPENSSL_NO_ENGINE
703             if (ENGINE_init(e)) {
704                 pkey = ENGINE_load_private_key(e, file, ui_method, &cb_data);
705                 ENGINE_finish(e);
706             }
707             if (pkey == NULL) {
708                 BIO_printf(bio_err, "cannot load %s from engine\n", key_descrip);
709                 ERR_print_errors(bio_err);
710             }
711 #else
712             BIO_printf(bio_err, "engines not supported\n");
713 #endif
714         }
715         goto end;
716     }
717     if (file == NULL && maybe_stdin) {
718         unbuffer(stdin);
719         key = dup_bio_in(format);
720     } else
721         key = bio_open_default(file, 'r', format);
722     if (key == NULL)
723         goto end;
724     if (format == FORMAT_ASN1) {
725         pkey = d2i_PrivateKey_bio(key, NULL);
726     } else if (format == FORMAT_PEM) {
727         pkey = PEM_read_bio_PrivateKey(key, NULL,
728                                        (pem_password_cb *)password_callback,
729                                        &cb_data);
730     }
731     else if (format == FORMAT_PKCS12) {
732         if (!load_pkcs12(key, key_descrip,
733                          (pem_password_cb *)password_callback, &cb_data,
734                          &pkey, NULL, NULL))
735             goto end;
736     }
737 #if !defined(OPENSSL_NO_RSA) && !defined(OPENSSL_NO_DSA) && !defined (OPENSSL_NO_RC4)
738     else if (format == FORMAT_MSBLOB)
739         pkey = b2i_PrivateKey_bio(key);
740     else if (format == FORMAT_PVK)
741         pkey = b2i_PVK_bio(key, (pem_password_cb *)password_callback,
742                            &cb_data);
743 #endif
744     else {
745         BIO_printf(bio_err, "bad input format specified for key file\n");
746         goto end;
747     }
748  end:
749     BIO_free(key);
750     if (pkey == NULL) {
751         BIO_printf(bio_err, "unable to load %s\n", key_descrip);
752         ERR_print_errors(bio_err);
753     }
754     return (pkey);
755 }
756
757 EVP_PKEY *load_pubkey(const char *file, int format, int maybe_stdin,
758                       const char *pass, ENGINE *e, const char *key_descrip)
759 {
760     BIO *key = NULL;
761     EVP_PKEY *pkey = NULL;
762     PW_CB_DATA cb_data;
763
764     cb_data.password = pass;
765     cb_data.prompt_info = file;
766
767     if (file == NULL && (!maybe_stdin || format == FORMAT_ENGINE)) {
768         BIO_printf(bio_err, "no keyfile specified\n");
769         goto end;
770     }
771     if (format == FORMAT_ENGINE) {
772         if (e == NULL)
773             BIO_printf(bio_err, "no engine specified\n");
774         else {
775 #ifndef OPENSSL_NO_ENGINE
776             pkey = ENGINE_load_public_key(e, file, ui_method, &cb_data);
777             if (pkey == NULL) {
778                 BIO_printf(bio_err, "cannot load %s from engine\n", key_descrip);
779                 ERR_print_errors(bio_err);
780             }
781 #else
782             BIO_printf(bio_err, "engines not supported\n");
783 #endif
784         }
785         goto end;
786     }
787     if (file == NULL && maybe_stdin) {
788         unbuffer(stdin);
789         key = dup_bio_in(format);
790     } else
791         key = bio_open_default(file, 'r', format);
792     if (key == NULL)
793         goto end;
794     if (format == FORMAT_ASN1) {
795         pkey = d2i_PUBKEY_bio(key, NULL);
796     }
797     else if (format == FORMAT_ASN1RSA) {
798 #ifndef OPENSSL_NO_RSA
799         RSA *rsa;
800         rsa = d2i_RSAPublicKey_bio(key, NULL);
801         if (rsa) {
802             pkey = EVP_PKEY_new();
803             if (pkey != NULL)
804                 EVP_PKEY_set1_RSA(pkey, rsa);
805             RSA_free(rsa);
806         } else
807 #else
808         BIO_printf(bio_err, "RSA keys not supported\n");
809 #endif
810             pkey = NULL;
811     } else if (format == FORMAT_PEMRSA) {
812 #ifndef OPENSSL_NO_RSA
813         RSA *rsa;
814         rsa = PEM_read_bio_RSAPublicKey(key, NULL,
815                                         (pem_password_cb *)password_callback,
816                                         &cb_data);
817         if (rsa != NULL) {
818             pkey = EVP_PKEY_new();
819             if (pkey != NULL)
820                 EVP_PKEY_set1_RSA(pkey, rsa);
821             RSA_free(rsa);
822         } else
823 #else
824         BIO_printf(bio_err, "RSA keys not supported\n");
825 #endif
826             pkey = NULL;
827     }
828     else if (format == FORMAT_PEM) {
829         pkey = PEM_read_bio_PUBKEY(key, NULL,
830                                    (pem_password_cb *)password_callback,
831                                    &cb_data);
832     }
833 #if !defined(OPENSSL_NO_RSA) && !defined(OPENSSL_NO_DSA)
834     else if (format == FORMAT_MSBLOB)
835         pkey = b2i_PublicKey_bio(key);
836 #endif
837  end:
838     BIO_free(key);
839     if (pkey == NULL)
840         BIO_printf(bio_err, "unable to load %s\n", key_descrip);
841     return (pkey);
842 }
843
844 static int load_certs_crls(const char *file, int format,
845                            const char *pass, const char *desc,
846                            STACK_OF(X509) **pcerts,
847                            STACK_OF(X509_CRL) **pcrls)
848 {
849     int i;
850     BIO *bio;
851     STACK_OF(X509_INFO) *xis = NULL;
852     X509_INFO *xi;
853     PW_CB_DATA cb_data;
854     int rv = 0;
855
856     cb_data.password = pass;
857     cb_data.prompt_info = file;
858
859     if (format != FORMAT_PEM) {
860         BIO_printf(bio_err, "bad input format specified for %s\n", desc);
861         return 0;
862     }
863
864     bio = bio_open_default(file, 'r', FORMAT_PEM);
865     if (bio == NULL)
866         return 0;
867
868     xis = PEM_X509_INFO_read_bio(bio, NULL,
869                                  (pem_password_cb *)password_callback,
870                                  &cb_data);
871
872     BIO_free(bio);
873
874     if (pcerts && *pcerts == NULL) {
875         *pcerts = sk_X509_new_null();
876         if (!*pcerts)
877             goto end;
878     }
879
880     if (pcrls && *pcrls == NULL) {
881         *pcrls = sk_X509_CRL_new_null();
882         if (!*pcrls)
883             goto end;
884     }
885
886     for (i = 0; i < sk_X509_INFO_num(xis); i++) {
887         xi = sk_X509_INFO_value(xis, i);
888         if (xi->x509 && pcerts) {
889             if (!sk_X509_push(*pcerts, xi->x509))
890                 goto end;
891             xi->x509 = NULL;
892         }
893         if (xi->crl && pcrls) {
894             if (!sk_X509_CRL_push(*pcrls, xi->crl))
895                 goto end;
896             xi->crl = NULL;
897         }
898     }
899
900     if (pcerts && sk_X509_num(*pcerts) > 0)
901         rv = 1;
902
903     if (pcrls && sk_X509_CRL_num(*pcrls) > 0)
904         rv = 1;
905
906  end:
907
908     sk_X509_INFO_pop_free(xis, X509_INFO_free);
909
910     if (rv == 0) {
911         if (pcerts) {
912             sk_X509_pop_free(*pcerts, X509_free);
913             *pcerts = NULL;
914         }
915         if (pcrls) {
916             sk_X509_CRL_pop_free(*pcrls, X509_CRL_free);
917             *pcrls = NULL;
918         }
919         BIO_printf(bio_err, "unable to load %s\n",
920                    pcerts ? "certificates" : "CRLs");
921         ERR_print_errors(bio_err);
922     }
923     return rv;
924 }
925
926 void* app_malloc(int sz, const char *what)
927 {
928     void *vp = OPENSSL_malloc(sz);
929
930     if (vp == NULL) {
931         BIO_printf(bio_err, "%s: Could not allocate %d bytes for %s\n",
932                 opt_getprog(), sz, what);
933         ERR_print_errors(bio_err);
934         exit(1);
935     }
936     return vp;
937 }
938
939 /*
940  * Initialize or extend, if *certs != NULL, a certificate stack.
941  */
942 int load_certs(const char *file, STACK_OF(X509) **certs, int format,
943                const char *pass, const char *desc)
944 {
945     return load_certs_crls(file, format, pass, desc, certs, NULL);
946 }
947
948 /*
949  * Initialize or extend, if *crls != NULL, a certificate stack.
950  */
951 int load_crls(const char *file, STACK_OF(X509_CRL) **crls, int format,
952               const char *pass, const char *desc)
953 {
954     return load_certs_crls(file, format, pass, desc, NULL, crls);
955 }
956
957 #define X509V3_EXT_UNKNOWN_MASK         (0xfL << 16)
958 /* Return error for unknown extensions */
959 #define X509V3_EXT_DEFAULT              0
960 /* Print error for unknown extensions */
961 #define X509V3_EXT_ERROR_UNKNOWN        (1L << 16)
962 /* ASN1 parse unknown extensions */
963 #define X509V3_EXT_PARSE_UNKNOWN        (2L << 16)
964 /* BIO_dump unknown extensions */
965 #define X509V3_EXT_DUMP_UNKNOWN         (3L << 16)
966
967 #define X509_FLAG_CA (X509_FLAG_NO_ISSUER | X509_FLAG_NO_PUBKEY | \
968                          X509_FLAG_NO_HEADER | X509_FLAG_NO_VERSION)
969
970 int set_cert_ex(unsigned long *flags, const char *arg)
971 {
972     static const NAME_EX_TBL cert_tbl[] = {
973         {"compatible", X509_FLAG_COMPAT, 0xffffffffl},
974         {"ca_default", X509_FLAG_CA, 0xffffffffl},
975         {"no_header", X509_FLAG_NO_HEADER, 0},
976         {"no_version", X509_FLAG_NO_VERSION, 0},
977         {"no_serial", X509_FLAG_NO_SERIAL, 0},
978         {"no_signame", X509_FLAG_NO_SIGNAME, 0},
979         {"no_validity", X509_FLAG_NO_VALIDITY, 0},
980         {"no_subject", X509_FLAG_NO_SUBJECT, 0},
981         {"no_issuer", X509_FLAG_NO_ISSUER, 0},
982         {"no_pubkey", X509_FLAG_NO_PUBKEY, 0},
983         {"no_extensions", X509_FLAG_NO_EXTENSIONS, 0},
984         {"no_sigdump", X509_FLAG_NO_SIGDUMP, 0},
985         {"no_aux", X509_FLAG_NO_AUX, 0},
986         {"no_attributes", X509_FLAG_NO_ATTRIBUTES, 0},
987         {"ext_default", X509V3_EXT_DEFAULT, X509V3_EXT_UNKNOWN_MASK},
988         {"ext_error", X509V3_EXT_ERROR_UNKNOWN, X509V3_EXT_UNKNOWN_MASK},
989         {"ext_parse", X509V3_EXT_PARSE_UNKNOWN, X509V3_EXT_UNKNOWN_MASK},
990         {"ext_dump", X509V3_EXT_DUMP_UNKNOWN, X509V3_EXT_UNKNOWN_MASK},
991         {NULL, 0, 0}
992     };
993     return set_multi_opts(flags, arg, cert_tbl);
994 }
995
996 int set_name_ex(unsigned long *flags, const char *arg)
997 {
998     static const NAME_EX_TBL ex_tbl[] = {
999         {"esc_2253", ASN1_STRFLGS_ESC_2253, 0},
1000         {"esc_2254", ASN1_STRFLGS_ESC_2254, 0},
1001         {"esc_ctrl", ASN1_STRFLGS_ESC_CTRL, 0},
1002         {"esc_msb", ASN1_STRFLGS_ESC_MSB, 0},
1003         {"use_quote", ASN1_STRFLGS_ESC_QUOTE, 0},
1004         {"utf8", ASN1_STRFLGS_UTF8_CONVERT, 0},
1005         {"ignore_type", ASN1_STRFLGS_IGNORE_TYPE, 0},
1006         {"show_type", ASN1_STRFLGS_SHOW_TYPE, 0},
1007         {"dump_all", ASN1_STRFLGS_DUMP_ALL, 0},
1008         {"dump_nostr", ASN1_STRFLGS_DUMP_UNKNOWN, 0},
1009         {"dump_der", ASN1_STRFLGS_DUMP_DER, 0},
1010         {"compat", XN_FLAG_COMPAT, 0xffffffffL},
1011         {"sep_comma_plus", XN_FLAG_SEP_COMMA_PLUS, XN_FLAG_SEP_MASK},
1012         {"sep_comma_plus_space", XN_FLAG_SEP_CPLUS_SPC, XN_FLAG_SEP_MASK},
1013         {"sep_semi_plus_space", XN_FLAG_SEP_SPLUS_SPC, XN_FLAG_SEP_MASK},
1014         {"sep_multiline", XN_FLAG_SEP_MULTILINE, XN_FLAG_SEP_MASK},
1015         {"dn_rev", XN_FLAG_DN_REV, 0},
1016         {"nofname", XN_FLAG_FN_NONE, XN_FLAG_FN_MASK},
1017         {"sname", XN_FLAG_FN_SN, XN_FLAG_FN_MASK},
1018         {"lname", XN_FLAG_FN_LN, XN_FLAG_FN_MASK},
1019         {"align", XN_FLAG_FN_ALIGN, 0},
1020         {"oid", XN_FLAG_FN_OID, XN_FLAG_FN_MASK},
1021         {"space_eq", XN_FLAG_SPC_EQ, 0},
1022         {"dump_unknown", XN_FLAG_DUMP_UNKNOWN_FIELDS, 0},
1023         {"RFC2253", XN_FLAG_RFC2253, 0xffffffffL},
1024         {"oneline", XN_FLAG_ONELINE, 0xffffffffL},
1025         {"multiline", XN_FLAG_MULTILINE, 0xffffffffL},
1026         {"ca_default", XN_FLAG_MULTILINE, 0xffffffffL},
1027         {NULL, 0, 0}
1028     };
1029     if (set_multi_opts(flags, arg, ex_tbl) == 0)
1030         return 0;
1031     if ((*flags & XN_FLAG_SEP_MASK) == 0)
1032         *flags |= XN_FLAG_SEP_CPLUS_SPC;
1033     return 1;
1034 }
1035
1036 int set_ext_copy(int *copy_type, const char *arg)
1037 {
1038     if (strcasecmp(arg, "none") == 0)
1039         *copy_type = EXT_COPY_NONE;
1040     else if (strcasecmp(arg, "copy") == 0)
1041         *copy_type = EXT_COPY_ADD;
1042     else if (strcasecmp(arg, "copyall") == 0)
1043         *copy_type = EXT_COPY_ALL;
1044     else
1045         return 0;
1046     return 1;
1047 }
1048
1049 int copy_extensions(X509 *x, X509_REQ *req, int copy_type)
1050 {
1051     STACK_OF(X509_EXTENSION) *exts = NULL;
1052     X509_EXTENSION *ext, *tmpext;
1053     ASN1_OBJECT *obj;
1054     int i, idx, ret = 0;
1055     if (!x || !req || (copy_type == EXT_COPY_NONE))
1056         return 1;
1057     exts = X509_REQ_get_extensions(req);
1058
1059     for (i = 0; i < sk_X509_EXTENSION_num(exts); i++) {
1060         ext = sk_X509_EXTENSION_value(exts, i);
1061         obj = X509_EXTENSION_get_object(ext);
1062         idx = X509_get_ext_by_OBJ(x, obj, -1);
1063         /* Does extension exist? */
1064         if (idx != -1) {
1065             /* If normal copy don't override existing extension */
1066             if (copy_type == EXT_COPY_ADD)
1067                 continue;
1068             /* Delete all extensions of same type */
1069             do {
1070                 tmpext = X509_get_ext(x, idx);
1071                 X509_delete_ext(x, idx);
1072                 X509_EXTENSION_free(tmpext);
1073                 idx = X509_get_ext_by_OBJ(x, obj, -1);
1074             } while (idx != -1);
1075         }
1076         if (!X509_add_ext(x, ext, -1))
1077             goto end;
1078     }
1079
1080     ret = 1;
1081
1082  end:
1083
1084     sk_X509_EXTENSION_pop_free(exts, X509_EXTENSION_free);
1085
1086     return ret;
1087 }
1088
1089 static int set_multi_opts(unsigned long *flags, const char *arg,
1090                           const NAME_EX_TBL * in_tbl)
1091 {
1092     STACK_OF(CONF_VALUE) *vals;
1093     CONF_VALUE *val;
1094     int i, ret = 1;
1095     if (!arg)
1096         return 0;
1097     vals = X509V3_parse_list(arg);
1098     for (i = 0; i < sk_CONF_VALUE_num(vals); i++) {
1099         val = sk_CONF_VALUE_value(vals, i);
1100         if (!set_table_opts(flags, val->name, in_tbl))
1101             ret = 0;
1102     }
1103     sk_CONF_VALUE_pop_free(vals, X509V3_conf_free);
1104     return ret;
1105 }
1106
1107 static int set_table_opts(unsigned long *flags, const char *arg,
1108                           const NAME_EX_TBL * in_tbl)
1109 {
1110     char c;
1111     const NAME_EX_TBL *ptbl;
1112     c = arg[0];
1113
1114     if (c == '-') {
1115         c = 0;
1116         arg++;
1117     } else if (c == '+') {
1118         c = 1;
1119         arg++;
1120     } else
1121         c = 1;
1122
1123     for (ptbl = in_tbl; ptbl->name; ptbl++) {
1124         if (strcasecmp(arg, ptbl->name) == 0) {
1125             *flags &= ~ptbl->mask;
1126             if (c)
1127                 *flags |= ptbl->flag;
1128             else
1129                 *flags &= ~ptbl->flag;
1130             return 1;
1131         }
1132     }
1133     return 0;
1134 }
1135
1136 void print_name(BIO *out, const char *title, X509_NAME *nm,
1137                 unsigned long lflags)
1138 {
1139     char *buf;
1140     char mline = 0;
1141     int indent = 0;
1142
1143     if (title)
1144         BIO_puts(out, title);
1145     if ((lflags & XN_FLAG_SEP_MASK) == XN_FLAG_SEP_MULTILINE) {
1146         mline = 1;
1147         indent = 4;
1148     }
1149     if (lflags == XN_FLAG_COMPAT) {
1150         buf = X509_NAME_oneline(nm, 0, 0);
1151         BIO_puts(out, buf);
1152         BIO_puts(out, "\n");
1153         OPENSSL_free(buf);
1154     } else {
1155         if (mline)
1156             BIO_puts(out, "\n");
1157         X509_NAME_print_ex(out, nm, indent, lflags);
1158         BIO_puts(out, "\n");
1159     }
1160 }
1161
1162 void print_bignum_var(BIO *out, const BIGNUM *in, const char *var,
1163                       int len, unsigned char *buffer)
1164 {
1165     BIO_printf(out, "    static unsigned char %s_%d[] = {", var, len);
1166     if (BN_is_zero(in))
1167         BIO_printf(out, "\n\t0x00");
1168     else {
1169         int i, l;
1170
1171         l = BN_bn2bin(in, buffer);
1172         for (i = 0; i < l; i++) {
1173             if ((i % 10) == 0)
1174                 BIO_printf(out, "\n\t");
1175             if (i < l - 1)
1176                 BIO_printf(out, "0x%02X, ", buffer[i]);
1177             else
1178                 BIO_printf(out, "0x%02X", buffer[i]);
1179         }
1180     }
1181     BIO_printf(out, "\n    };\n");
1182 }
1183 void print_array(BIO *out, const char* title, int len, const unsigned char* d)
1184 {
1185     int i;
1186
1187     BIO_printf(out, "unsigned char %s[%d] = {", title, len);
1188     for (i = 0; i < len; i++) {
1189         if ((i % 10) == 0)
1190             BIO_printf(out, "\n    ");
1191         if (i < len - 1)
1192             BIO_printf(out, "0x%02X, ", d[i]);
1193         else
1194             BIO_printf(out, "0x%02X", d[i]);
1195     }
1196     BIO_printf(out, "\n};\n");
1197 }
1198
1199 X509_STORE *setup_verify(const char *CAfile, const char *CApath, int noCAfile, int noCApath)
1200 {
1201     X509_STORE *store = X509_STORE_new();
1202     X509_LOOKUP *lookup;
1203
1204     if (store == NULL)
1205         goto end;
1206
1207     if (CAfile != NULL || !noCAfile) {
1208         lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file());
1209         if (lookup == NULL)
1210             goto end;
1211         if (CAfile) {
1212             if (!X509_LOOKUP_load_file(lookup, CAfile, X509_FILETYPE_PEM)) {
1213                 BIO_printf(bio_err, "Error loading file %s\n", CAfile);
1214                 goto end;
1215             }
1216         } else
1217             X509_LOOKUP_load_file(lookup, NULL, X509_FILETYPE_DEFAULT);
1218     }
1219
1220     if (CApath != NULL || !noCApath) {
1221         lookup = X509_STORE_add_lookup(store, X509_LOOKUP_hash_dir());
1222         if (lookup == NULL)
1223             goto end;
1224         if (CApath) {
1225             if (!X509_LOOKUP_add_dir(lookup, CApath, X509_FILETYPE_PEM)) {
1226                 BIO_printf(bio_err, "Error loading directory %s\n", CApath);
1227                 goto end;
1228             }
1229         } else
1230             X509_LOOKUP_add_dir(lookup, NULL, X509_FILETYPE_DEFAULT);
1231     }
1232
1233     ERR_clear_error();
1234     return store;
1235  end:
1236     X509_STORE_free(store);
1237     return NULL;
1238 }
1239
1240 #ifndef OPENSSL_NO_ENGINE
1241 /* Try to load an engine in a shareable library */
1242 static ENGINE *try_load_engine(const char *engine)
1243 {
1244     ENGINE *e = ENGINE_by_id("dynamic");
1245     if (e) {
1246         if (!ENGINE_ctrl_cmd_string(e, "SO_PATH", engine, 0)
1247             || !ENGINE_ctrl_cmd_string(e, "LOAD", NULL, 0)) {
1248             ENGINE_free(e);
1249             e = NULL;
1250         }
1251     }
1252     return e;
1253 }
1254 #endif
1255
1256 ENGINE *setup_engine(const char *engine, int debug)
1257 {
1258     ENGINE *e = NULL;
1259
1260 #ifndef OPENSSL_NO_ENGINE
1261     if (engine) {
1262         if (strcmp(engine, "auto") == 0) {
1263             BIO_printf(bio_err, "enabling auto ENGINE support\n");
1264             ENGINE_register_all_complete();
1265             return NULL;
1266         }
1267         if ((e = ENGINE_by_id(engine)) == NULL
1268             && (e = try_load_engine(engine)) == NULL) {
1269             BIO_printf(bio_err, "invalid engine \"%s\"\n", engine);
1270             ERR_print_errors(bio_err);
1271             return NULL;
1272         }
1273         if (debug) {
1274             ENGINE_ctrl(e, ENGINE_CTRL_SET_LOGSTREAM, 0, bio_err, 0);
1275         }
1276         ENGINE_ctrl_cmd(e, "SET_USER_INTERFACE", 0, ui_method, 0, 1);
1277         if (!ENGINE_set_default(e, ENGINE_METHOD_ALL)) {
1278             BIO_printf(bio_err, "can't use that engine\n");
1279             ERR_print_errors(bio_err);
1280             ENGINE_free(e);
1281             return NULL;
1282         }
1283
1284         BIO_printf(bio_err, "engine \"%s\" set.\n", ENGINE_get_id(e));
1285     }
1286 #endif
1287     return e;
1288 }
1289
1290 void release_engine(ENGINE *e)
1291 {
1292 #ifndef OPENSSL_NO_ENGINE
1293     if (e != NULL)
1294         /* Free our "structural" reference. */
1295         ENGINE_free(e);
1296 #endif
1297 }
1298
1299 static unsigned long index_serial_hash(const OPENSSL_CSTRING *a)
1300 {
1301     const char *n;
1302
1303     n = a[DB_serial];
1304     while (*n == '0')
1305         n++;
1306     return OPENSSL_LH_strhash(n);
1307 }
1308
1309 static int index_serial_cmp(const OPENSSL_CSTRING *a,
1310                             const OPENSSL_CSTRING *b)
1311 {
1312     const char *aa, *bb;
1313
1314     for (aa = a[DB_serial]; *aa == '0'; aa++) ;
1315     for (bb = b[DB_serial]; *bb == '0'; bb++) ;
1316     return (strcmp(aa, bb));
1317 }
1318
1319 static int index_name_qual(char **a)
1320 {
1321     return (a[0][0] == 'V');
1322 }
1323
1324 static unsigned long index_name_hash(const OPENSSL_CSTRING *a)
1325 {
1326     return OPENSSL_LH_strhash(a[DB_name]);
1327 }
1328
1329 int index_name_cmp(const OPENSSL_CSTRING *a, const OPENSSL_CSTRING *b)
1330 {
1331     return (strcmp(a[DB_name], b[DB_name]));
1332 }
1333
1334 static IMPLEMENT_LHASH_HASH_FN(index_serial, OPENSSL_CSTRING)
1335 static IMPLEMENT_LHASH_COMP_FN(index_serial, OPENSSL_CSTRING)
1336 static IMPLEMENT_LHASH_HASH_FN(index_name, OPENSSL_CSTRING)
1337 static IMPLEMENT_LHASH_COMP_FN(index_name, OPENSSL_CSTRING)
1338 #undef BSIZE
1339 #define BSIZE 256
1340 BIGNUM *load_serial(const char *serialfile, int create, ASN1_INTEGER **retai)
1341 {
1342     BIO *in = NULL;
1343     BIGNUM *ret = NULL;
1344     char buf[1024];
1345     ASN1_INTEGER *ai = NULL;
1346
1347     ai = ASN1_INTEGER_new();
1348     if (ai == NULL)
1349         goto err;
1350
1351     in = BIO_new_file(serialfile, "r");
1352     if (in == NULL) {
1353         if (!create) {
1354             perror(serialfile);
1355             goto err;
1356         }
1357         ERR_clear_error();
1358         ret = BN_new();
1359         if (ret == NULL || !rand_serial(ret, ai))
1360             BIO_printf(bio_err, "Out of memory\n");
1361     } else {
1362         if (!a2i_ASN1_INTEGER(in, ai, buf, 1024)) {
1363             BIO_printf(bio_err, "unable to load number from %s\n",
1364                        serialfile);
1365             goto err;
1366         }
1367         ret = ASN1_INTEGER_to_BN(ai, NULL);
1368         if (ret == NULL) {
1369             BIO_printf(bio_err,
1370                        "error converting number from bin to BIGNUM\n");
1371             goto err;
1372         }
1373     }
1374
1375     if (ret && retai) {
1376         *retai = ai;
1377         ai = NULL;
1378     }
1379  err:
1380     BIO_free(in);
1381     ASN1_INTEGER_free(ai);
1382     return (ret);
1383 }
1384
1385 int save_serial(const char *serialfile, const char *suffix, const BIGNUM *serial,
1386                 ASN1_INTEGER **retai)
1387 {
1388     char buf[1][BSIZE];
1389     BIO *out = NULL;
1390     int ret = 0;
1391     ASN1_INTEGER *ai = NULL;
1392     int j;
1393
1394     if (suffix == NULL)
1395         j = strlen(serialfile);
1396     else
1397         j = strlen(serialfile) + strlen(suffix) + 1;
1398     if (j >= BSIZE) {
1399         BIO_printf(bio_err, "file name too long\n");
1400         goto err;
1401     }
1402
1403     if (suffix == NULL)
1404         OPENSSL_strlcpy(buf[0], serialfile, BSIZE);
1405     else {
1406 #ifndef OPENSSL_SYS_VMS
1407         j = BIO_snprintf(buf[0], sizeof buf[0], "%s.%s", serialfile, suffix);
1408 #else
1409         j = BIO_snprintf(buf[0], sizeof buf[0], "%s-%s", serialfile, suffix);
1410 #endif
1411     }
1412     out = BIO_new_file(buf[0], "w");
1413     if (out == NULL) {
1414         ERR_print_errors(bio_err);
1415         goto err;
1416     }
1417
1418     if ((ai = BN_to_ASN1_INTEGER(serial, NULL)) == NULL) {
1419         BIO_printf(bio_err, "error converting serial to ASN.1 format\n");
1420         goto err;
1421     }
1422     i2a_ASN1_INTEGER(out, ai);
1423     BIO_puts(out, "\n");
1424     ret = 1;
1425     if (retai) {
1426         *retai = ai;
1427         ai = NULL;
1428     }
1429  err:
1430     BIO_free_all(out);
1431     ASN1_INTEGER_free(ai);
1432     return (ret);
1433 }
1434
1435 int rotate_serial(const char *serialfile, const char *new_suffix,
1436                   const char *old_suffix)
1437 {
1438     char buf[2][BSIZE];
1439     int i, j;
1440
1441     i = strlen(serialfile) + strlen(old_suffix);
1442     j = strlen(serialfile) + strlen(new_suffix);
1443     if (i > j)
1444         j = i;
1445     if (j + 1 >= BSIZE) {
1446         BIO_printf(bio_err, "file name too long\n");
1447         goto err;
1448     }
1449 #ifndef OPENSSL_SYS_VMS
1450     j = BIO_snprintf(buf[0], sizeof buf[0], "%s.%s", serialfile, new_suffix);
1451     j = BIO_snprintf(buf[1], sizeof buf[1], "%s.%s", serialfile, old_suffix);
1452 #else
1453     j = BIO_snprintf(buf[0], sizeof buf[0], "%s-%s", serialfile, new_suffix);
1454     j = BIO_snprintf(buf[1], sizeof buf[1], "%s-%s", serialfile, old_suffix);
1455 #endif
1456     if (rename(serialfile, buf[1]) < 0 && errno != ENOENT
1457 #ifdef ENOTDIR
1458         && errno != ENOTDIR
1459 #endif
1460         ) {
1461         BIO_printf(bio_err,
1462                    "unable to rename %s to %s\n", serialfile, buf[1]);
1463         perror("reason");
1464         goto err;
1465     }
1466     if (rename(buf[0], serialfile) < 0) {
1467         BIO_printf(bio_err,
1468                    "unable to rename %s to %s\n", buf[0], serialfile);
1469         perror("reason");
1470         rename(buf[1], serialfile);
1471         goto err;
1472     }
1473     return 1;
1474  err:
1475     return 0;
1476 }
1477
1478 int rand_serial(BIGNUM *b, ASN1_INTEGER *ai)
1479 {
1480     BIGNUM *btmp;
1481     int ret = 0;
1482
1483     if (b)
1484         btmp = b;
1485     else
1486         btmp = BN_new();
1487
1488     if (btmp == NULL)
1489         return 0;
1490
1491     if (!BN_pseudo_rand(btmp, SERIAL_RAND_BITS, 0, 0))
1492         goto error;
1493     if (ai && !BN_to_ASN1_INTEGER(btmp, ai))
1494         goto error;
1495
1496     ret = 1;
1497
1498  error:
1499
1500     if (btmp != b)
1501         BN_free(btmp);
1502
1503     return ret;
1504 }
1505
1506 CA_DB *load_index(const char *dbfile, DB_ATTR *db_attr)
1507 {
1508     CA_DB *retdb = NULL;
1509     TXT_DB *tmpdb = NULL;
1510     BIO *in;
1511     CONF *dbattr_conf = NULL;
1512     char buf[BSIZE];
1513
1514     in = BIO_new_file(dbfile, "r");
1515     if (in == NULL) {
1516         ERR_print_errors(bio_err);
1517         goto err;
1518     }
1519     if ((tmpdb = TXT_DB_read(in, DB_NUMBER)) == NULL)
1520         goto err;
1521
1522 #ifndef OPENSSL_SYS_VMS
1523     BIO_snprintf(buf, sizeof buf, "%s.attr", dbfile);
1524 #else
1525     BIO_snprintf(buf, sizeof buf, "%s-attr", dbfile);
1526 #endif
1527     dbattr_conf = app_load_config(buf);
1528
1529     retdb = app_malloc(sizeof(*retdb), "new DB");
1530     retdb->db = tmpdb;
1531     tmpdb = NULL;
1532     if (db_attr)
1533         retdb->attributes = *db_attr;
1534     else {
1535         retdb->attributes.unique_subject = 1;
1536     }
1537
1538     if (dbattr_conf) {
1539         char *p = NCONF_get_string(dbattr_conf, NULL, "unique_subject");
1540         if (p) {
1541             retdb->attributes.unique_subject = parse_yesno(p, 1);
1542         }
1543     }
1544
1545  err:
1546     NCONF_free(dbattr_conf);
1547     TXT_DB_free(tmpdb);
1548     BIO_free_all(in);
1549     return retdb;
1550 }
1551
1552 int index_index(CA_DB *db)
1553 {
1554     if (!TXT_DB_create_index(db->db, DB_serial, NULL,
1555                              LHASH_HASH_FN(index_serial),
1556                              LHASH_COMP_FN(index_serial))) {
1557         BIO_printf(bio_err,
1558                    "error creating serial number index:(%ld,%ld,%ld)\n",
1559                    db->db->error, db->db->arg1, db->db->arg2);
1560         return 0;
1561     }
1562
1563     if (db->attributes.unique_subject
1564         && !TXT_DB_create_index(db->db, DB_name, index_name_qual,
1565                                 LHASH_HASH_FN(index_name),
1566                                 LHASH_COMP_FN(index_name))) {
1567         BIO_printf(bio_err, "error creating name index:(%ld,%ld,%ld)\n",
1568                    db->db->error, db->db->arg1, db->db->arg2);
1569         return 0;
1570     }
1571     return 1;
1572 }
1573
1574 int save_index(const char *dbfile, const char *suffix, CA_DB *db)
1575 {
1576     char buf[3][BSIZE];
1577     BIO *out;
1578     int j;
1579
1580     j = strlen(dbfile) + strlen(suffix);
1581     if (j + 6 >= BSIZE) {
1582         BIO_printf(bio_err, "file name too long\n");
1583         goto err;
1584     }
1585 #ifndef OPENSSL_SYS_VMS
1586     j = BIO_snprintf(buf[2], sizeof buf[2], "%s.attr", dbfile);
1587     j = BIO_snprintf(buf[1], sizeof buf[1], "%s.attr.%s", dbfile, suffix);
1588     j = BIO_snprintf(buf[0], sizeof buf[0], "%s.%s", dbfile, suffix);
1589 #else
1590     j = BIO_snprintf(buf[2], sizeof buf[2], "%s-attr", dbfile);
1591     j = BIO_snprintf(buf[1], sizeof buf[1], "%s-attr-%s", dbfile, suffix);
1592     j = BIO_snprintf(buf[0], sizeof buf[0], "%s-%s", dbfile, suffix);
1593 #endif
1594     out = BIO_new_file(buf[0], "w");
1595     if (out == NULL) {
1596         perror(dbfile);
1597         BIO_printf(bio_err, "unable to open '%s'\n", dbfile);
1598         goto err;
1599     }
1600     j = TXT_DB_write(out, db->db);
1601     BIO_free(out);
1602     if (j <= 0)
1603         goto err;
1604
1605     out = BIO_new_file(buf[1], "w");
1606     if (out == NULL) {
1607         perror(buf[2]);
1608         BIO_printf(bio_err, "unable to open '%s'\n", buf[2]);
1609         goto err;
1610     }
1611     BIO_printf(out, "unique_subject = %s\n",
1612                db->attributes.unique_subject ? "yes" : "no");
1613     BIO_free(out);
1614
1615     return 1;
1616  err:
1617     return 0;
1618 }
1619
1620 int rotate_index(const char *dbfile, const char *new_suffix,
1621                  const char *old_suffix)
1622 {
1623     char buf[5][BSIZE];
1624     int i, j;
1625
1626     i = strlen(dbfile) + strlen(old_suffix);
1627     j = strlen(dbfile) + strlen(new_suffix);
1628     if (i > j)
1629         j = i;
1630     if (j + 6 >= BSIZE) {
1631         BIO_printf(bio_err, "file name too long\n");
1632         goto err;
1633     }
1634 #ifndef OPENSSL_SYS_VMS
1635     j = BIO_snprintf(buf[4], sizeof buf[4], "%s.attr", dbfile);
1636     j = BIO_snprintf(buf[3], sizeof buf[3], "%s.attr.%s", dbfile, old_suffix);
1637     j = BIO_snprintf(buf[2], sizeof buf[2], "%s.attr.%s", dbfile, new_suffix);
1638     j = BIO_snprintf(buf[1], sizeof buf[1], "%s.%s", dbfile, old_suffix);
1639     j = BIO_snprintf(buf[0], sizeof buf[0], "%s.%s", dbfile, new_suffix);
1640 #else
1641     j = BIO_snprintf(buf[4], sizeof buf[4], "%s-attr", dbfile);
1642     j = BIO_snprintf(buf[3], sizeof buf[3], "%s-attr-%s", dbfile, old_suffix);
1643     j = BIO_snprintf(buf[2], sizeof buf[2], "%s-attr-%s", dbfile, new_suffix);
1644     j = BIO_snprintf(buf[1], sizeof buf[1], "%s-%s", dbfile, old_suffix);
1645     j = BIO_snprintf(buf[0], sizeof buf[0], "%s-%s", dbfile, new_suffix);
1646 #endif
1647     if (rename(dbfile, buf[1]) < 0 && errno != ENOENT
1648 #ifdef ENOTDIR
1649         && errno != ENOTDIR
1650 #endif
1651         ) {
1652         BIO_printf(bio_err, "unable to rename %s to %s\n", dbfile, buf[1]);
1653         perror("reason");
1654         goto err;
1655     }
1656     if (rename(buf[0], dbfile) < 0) {
1657         BIO_printf(bio_err, "unable to rename %s to %s\n", buf[0], dbfile);
1658         perror("reason");
1659         rename(buf[1], dbfile);
1660         goto err;
1661     }
1662     if (rename(buf[4], buf[3]) < 0 && errno != ENOENT
1663 #ifdef ENOTDIR
1664         && errno != ENOTDIR
1665 #endif
1666         ) {
1667         BIO_printf(bio_err, "unable to rename %s to %s\n", buf[4], buf[3]);
1668         perror("reason");
1669         rename(dbfile, buf[0]);
1670         rename(buf[1], dbfile);
1671         goto err;
1672     }
1673     if (rename(buf[2], buf[4]) < 0) {
1674         BIO_printf(bio_err, "unable to rename %s to %s\n", buf[2], buf[4]);
1675         perror("reason");
1676         rename(buf[3], buf[4]);
1677         rename(dbfile, buf[0]);
1678         rename(buf[1], dbfile);
1679         goto err;
1680     }
1681     return 1;
1682  err:
1683     return 0;
1684 }
1685
1686 void free_index(CA_DB *db)
1687 {
1688     if (db) {
1689         TXT_DB_free(db->db);
1690         OPENSSL_free(db);
1691     }
1692 }
1693
1694 int parse_yesno(const char *str, int def)
1695 {
1696     if (str) {
1697         switch (*str) {
1698         case 'f':              /* false */
1699         case 'F':              /* FALSE */
1700         case 'n':              /* no */
1701         case 'N':              /* NO */
1702         case '0':              /* 0 */
1703             return 0;
1704         case 't':              /* true */
1705         case 'T':              /* TRUE */
1706         case 'y':              /* yes */
1707         case 'Y':              /* YES */
1708         case '1':              /* 1 */
1709             return 1;
1710         }
1711     }
1712     return def;
1713 }
1714
1715 /*
1716  * name is expected to be in the format /type0=value0/type1=value1/type2=...
1717  * where characters may be escaped by \
1718  */
1719 X509_NAME *parse_name(const char *cp, long chtype, int canmulti)
1720 {
1721     int nextismulti = 0;
1722     char *work;
1723     X509_NAME *n;
1724
1725     if (*cp++ != '/')
1726         return NULL;
1727
1728     n = X509_NAME_new();
1729     if (n == NULL)
1730         return NULL;
1731     work = OPENSSL_strdup(cp);
1732     if (work == NULL)
1733         goto err;
1734
1735     while (*cp) {
1736         char *bp = work;
1737         char *typestr = bp;
1738         unsigned char *valstr;
1739         int nid;
1740         int ismulti = nextismulti;
1741         nextismulti = 0;
1742
1743         /* Collect the type */
1744         while (*cp && *cp != '=')
1745             *bp++ = *cp++;
1746         if (*cp == '\0') {
1747             BIO_printf(bio_err,
1748                     "%s: Hit end of string before finding the equals.\n",
1749                     opt_getprog());
1750             goto err;
1751         }
1752         *bp++ = '\0';
1753         ++cp;
1754
1755         /* Collect the value. */
1756         valstr = (unsigned char *)bp;
1757         for (; *cp && *cp != '/'; *bp++ = *cp++) {
1758             if (canmulti && *cp == '+') {
1759                 nextismulti = 1;
1760                 break;
1761             }
1762             if (*cp == '\\' && *++cp == '\0') {
1763                 BIO_printf(bio_err,
1764                         "%s: escape character at end of string\n",
1765                         opt_getprog());
1766                 goto err;
1767             }
1768         }
1769         *bp++ = '\0';
1770
1771         /* If not at EOS (must be + or /), move forward. */
1772         if (*cp)
1773             ++cp;
1774
1775         /* Parse */
1776         nid = OBJ_txt2nid(typestr);
1777         if (nid == NID_undef) {
1778             BIO_printf(bio_err, "%s: Skipping unknown attribute \"%s\"\n",
1779                       opt_getprog(), typestr);
1780             continue;
1781         }
1782         if (!X509_NAME_add_entry_by_NID(n, nid, chtype,
1783                                         valstr, strlen((char *)valstr),
1784                                         -1, ismulti ? -1 : 0))
1785             goto err;
1786     }
1787
1788     OPENSSL_free(work);
1789     return n;
1790
1791  err:
1792     X509_NAME_free(n);
1793     OPENSSL_free(work);
1794     return NULL;
1795 }
1796
1797 /*
1798  * Read whole contents of a BIO into an allocated memory buffer and return
1799  * it.
1800  */
1801
1802 int bio_to_mem(unsigned char **out, int maxlen, BIO *in)
1803 {
1804     BIO *mem;
1805     int len, ret;
1806     unsigned char tbuf[1024];
1807
1808     mem = BIO_new(BIO_s_mem());
1809     if (mem == NULL)
1810         return -1;
1811     for (;;) {
1812         if ((maxlen != -1) && maxlen < 1024)
1813             len = maxlen;
1814         else
1815             len = 1024;
1816         len = BIO_read(in, tbuf, len);
1817         if (len < 0) {
1818             BIO_free(mem);
1819             return -1;
1820         }
1821         if (len == 0)
1822             break;
1823         if (BIO_write(mem, tbuf, len) != len) {
1824             BIO_free(mem);
1825             return -1;
1826         }
1827         maxlen -= len;
1828
1829         if (maxlen == 0)
1830             break;
1831     }
1832     ret = BIO_get_mem_data(mem, (char **)out);
1833     BIO_set_flags(mem, BIO_FLAGS_MEM_RDONLY);
1834     BIO_free(mem);
1835     return ret;
1836 }
1837
1838 int pkey_ctrl_string(EVP_PKEY_CTX *ctx, const char *value)
1839 {
1840     int rv;
1841     char *stmp, *vtmp = NULL;
1842     stmp = OPENSSL_strdup(value);
1843     if (!stmp)
1844         return -1;
1845     vtmp = strchr(stmp, ':');
1846     if (vtmp) {
1847         *vtmp = 0;
1848         vtmp++;
1849     }
1850     rv = EVP_PKEY_CTX_ctrl_str(ctx, stmp, vtmp);
1851     OPENSSL_free(stmp);
1852     return rv;
1853 }
1854
1855 static void nodes_print(const char *name, STACK_OF(X509_POLICY_NODE) *nodes)
1856 {
1857     X509_POLICY_NODE *node;
1858     int i;
1859
1860     BIO_printf(bio_err, "%s Policies:", name);
1861     if (nodes) {
1862         BIO_puts(bio_err, "\n");
1863         for (i = 0; i < sk_X509_POLICY_NODE_num(nodes); i++) {
1864             node = sk_X509_POLICY_NODE_value(nodes, i);
1865             X509_POLICY_NODE_print(bio_err, node, 2);
1866         }
1867     } else
1868         BIO_puts(bio_err, " <empty>\n");
1869 }
1870
1871 void policies_print(X509_STORE_CTX *ctx)
1872 {
1873     X509_POLICY_TREE *tree;
1874     int explicit_policy;
1875     tree = X509_STORE_CTX_get0_policy_tree(ctx);
1876     explicit_policy = X509_STORE_CTX_get_explicit_policy(ctx);
1877
1878     BIO_printf(bio_err, "Require explicit Policy: %s\n",
1879                explicit_policy ? "True" : "False");
1880
1881     nodes_print("Authority", X509_policy_tree_get0_policies(tree));
1882     nodes_print("User", X509_policy_tree_get0_user_policies(tree));
1883 }
1884
1885 /*-
1886  * next_protos_parse parses a comma separated list of strings into a string
1887  * in a format suitable for passing to SSL_CTX_set_next_protos_advertised.
1888  *   outlen: (output) set to the length of the resulting buffer on success.
1889  *   err: (maybe NULL) on failure, an error message line is written to this BIO.
1890  *   in: a NUL terminated string like "abc,def,ghi"
1891  *
1892  *   returns: a malloc'd buffer or NULL on failure.
1893  */
1894 unsigned char *next_protos_parse(size_t *outlen, const char *in)
1895 {
1896     size_t len;
1897     unsigned char *out;
1898     size_t i, start = 0;
1899
1900     len = strlen(in);
1901     if (len >= 65535)
1902         return NULL;
1903
1904     out = app_malloc(strlen(in) + 1, "NPN buffer");
1905     for (i = 0; i <= len; ++i) {
1906         if (i == len || in[i] == ',') {
1907             if (i - start > 255) {
1908                 OPENSSL_free(out);
1909                 return NULL;
1910             }
1911             out[start] = i - start;
1912             start = i + 1;
1913         } else
1914             out[i + 1] = in[i];
1915     }
1916
1917     *outlen = len + 1;
1918     return out;
1919 }
1920
1921 void print_cert_checks(BIO *bio, X509 *x,
1922                        const char *checkhost,
1923                        const char *checkemail, const char *checkip)
1924 {
1925     if (x == NULL)
1926         return;
1927     if (checkhost) {
1928         BIO_printf(bio, "Hostname %s does%s match certificate\n",
1929                    checkhost,
1930                    X509_check_host(x, checkhost, 0, 0, NULL) == 1
1931                        ? "" : " NOT");
1932     }
1933
1934     if (checkemail) {
1935         BIO_printf(bio, "Email %s does%s match certificate\n",
1936                    checkemail, X509_check_email(x, checkemail, 0, 0)
1937                    ? "" : " NOT");
1938     }
1939
1940     if (checkip) {
1941         BIO_printf(bio, "IP %s does%s match certificate\n",
1942                    checkip, X509_check_ip_asc(x, checkip, 0) ? "" : " NOT");
1943     }
1944 }
1945
1946 /* Get first http URL from a DIST_POINT structure */
1947
1948 static const char *get_dp_url(DIST_POINT *dp)
1949 {
1950     GENERAL_NAMES *gens;
1951     GENERAL_NAME *gen;
1952     int i, gtype;
1953     ASN1_STRING *uri;
1954     if (!dp->distpoint || dp->distpoint->type != 0)
1955         return NULL;
1956     gens = dp->distpoint->name.fullname;
1957     for (i = 0; i < sk_GENERAL_NAME_num(gens); i++) {
1958         gen = sk_GENERAL_NAME_value(gens, i);
1959         uri = GENERAL_NAME_get0_value(gen, &gtype);
1960         if (gtype == GEN_URI && ASN1_STRING_length(uri) > 6) {
1961             const char *uptr = (const char *)ASN1_STRING_get0_data(uri);
1962             if (strncmp(uptr, "http://", 7) == 0)
1963                 return uptr;
1964         }
1965     }
1966     return NULL;
1967 }
1968
1969 /*
1970  * Look through a CRLDP structure and attempt to find an http URL to
1971  * downloads a CRL from.
1972  */
1973
1974 static X509_CRL *load_crl_crldp(STACK_OF(DIST_POINT) *crldp)
1975 {
1976     int i;
1977     const char *urlptr = NULL;
1978     for (i = 0; i < sk_DIST_POINT_num(crldp); i++) {
1979         DIST_POINT *dp = sk_DIST_POINT_value(crldp, i);
1980         urlptr = get_dp_url(dp);
1981         if (urlptr)
1982             return load_crl(urlptr, FORMAT_HTTP);
1983     }
1984     return NULL;
1985 }
1986
1987 /*
1988  * Example of downloading CRLs from CRLDP: not usable for real world as it
1989  * always downloads, doesn't support non-blocking I/O and doesn't cache
1990  * anything.
1991  */
1992
1993 static STACK_OF(X509_CRL) *crls_http_cb(X509_STORE_CTX *ctx, X509_NAME *nm)
1994 {
1995     X509 *x;
1996     STACK_OF(X509_CRL) *crls = NULL;
1997     X509_CRL *crl;
1998     STACK_OF(DIST_POINT) *crldp;
1999
2000     crls = sk_X509_CRL_new_null();
2001     if (!crls)
2002         return NULL;
2003     x = X509_STORE_CTX_get_current_cert(ctx);
2004     crldp = X509_get_ext_d2i(x, NID_crl_distribution_points, NULL, NULL);
2005     crl = load_crl_crldp(crldp);
2006     sk_DIST_POINT_pop_free(crldp, DIST_POINT_free);
2007     if (!crl) {
2008         sk_X509_CRL_free(crls);
2009         return NULL;
2010     }
2011     sk_X509_CRL_push(crls, crl);
2012     /* Try to download delta CRL */
2013     crldp = X509_get_ext_d2i(x, NID_freshest_crl, NULL, NULL);
2014     crl = load_crl_crldp(crldp);
2015     sk_DIST_POINT_pop_free(crldp, DIST_POINT_free);
2016     if (crl)
2017         sk_X509_CRL_push(crls, crl);
2018     return crls;
2019 }
2020
2021 void store_setup_crl_download(X509_STORE *st)
2022 {
2023     X509_STORE_set_lookup_crls_cb(st, crls_http_cb);
2024 }
2025
2026 /*
2027  * Platform-specific sections
2028  */
2029 #if defined(_WIN32)
2030 # ifdef fileno
2031 #  undef fileno
2032 #  define fileno(a) (int)_fileno(a)
2033 # endif
2034
2035 # include <windows.h>
2036 # include <tchar.h>
2037
2038 static int WIN32_rename(const char *from, const char *to)
2039 {
2040     TCHAR *tfrom = NULL, *tto;
2041     DWORD err;
2042     int ret = 0;
2043
2044     if (sizeof(TCHAR) == 1) {
2045         tfrom = (TCHAR *)from;
2046         tto = (TCHAR *)to;
2047     } else {                    /* UNICODE path */
2048
2049         size_t i, flen = strlen(from) + 1, tlen = strlen(to) + 1;
2050         tfrom = malloc(sizeof(*tfrom) * (flen + tlen));
2051         if (tfrom == NULL)
2052             goto err;
2053         tto = tfrom + flen;
2054 # if !defined(_WIN32_WCE) || _WIN32_WCE>=101
2055         if (!MultiByteToWideChar(CP_ACP, 0, from, flen, (WCHAR *)tfrom, flen))
2056 # endif
2057             for (i = 0; i < flen; i++)
2058                 tfrom[i] = (TCHAR)from[i];
2059 # if !defined(_WIN32_WCE) || _WIN32_WCE>=101
2060         if (!MultiByteToWideChar(CP_ACP, 0, to, tlen, (WCHAR *)tto, tlen))
2061 # endif
2062             for (i = 0; i < tlen; i++)
2063                 tto[i] = (TCHAR)to[i];
2064     }
2065
2066     if (MoveFile(tfrom, tto))
2067         goto ok;
2068     err = GetLastError();
2069     if (err == ERROR_ALREADY_EXISTS || err == ERROR_FILE_EXISTS) {
2070         if (DeleteFile(tto) && MoveFile(tfrom, tto))
2071             goto ok;
2072         err = GetLastError();
2073     }
2074     if (err == ERROR_FILE_NOT_FOUND || err == ERROR_PATH_NOT_FOUND)
2075         errno = ENOENT;
2076     else if (err == ERROR_ACCESS_DENIED)
2077         errno = EACCES;
2078     else
2079         errno = EINVAL;         /* we could map more codes... */
2080  err:
2081     ret = -1;
2082  ok:
2083     if (tfrom != NULL && tfrom != (TCHAR *)from)
2084         free(tfrom);
2085     return ret;
2086 }
2087 #endif
2088
2089 /* app_tminterval section */
2090 #if defined(_WIN32)
2091 double app_tminterval(int stop, int usertime)
2092 {
2093     FILETIME now;
2094     double ret = 0;
2095     static ULARGE_INTEGER tmstart;
2096     static int warning = 1;
2097 # ifdef _WIN32_WINNT
2098     static HANDLE proc = NULL;
2099
2100     if (proc == NULL) {
2101         if (check_winnt())
2102             proc = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE,
2103                                GetCurrentProcessId());
2104         if (proc == NULL)
2105             proc = (HANDLE) - 1;
2106     }
2107
2108     if (usertime && proc != (HANDLE) - 1) {
2109         FILETIME junk;
2110         GetProcessTimes(proc, &junk, &junk, &junk, &now);
2111     } else
2112 # endif
2113     {
2114         SYSTEMTIME systime;
2115
2116         if (usertime && warning) {
2117             BIO_printf(bio_err, "To get meaningful results, run "
2118                        "this program on idle system.\n");
2119             warning = 0;
2120         }
2121         GetSystemTime(&systime);
2122         SystemTimeToFileTime(&systime, &now);
2123     }
2124
2125     if (stop == TM_START) {
2126         tmstart.u.LowPart = now.dwLowDateTime;
2127         tmstart.u.HighPart = now.dwHighDateTime;
2128     } else {
2129         ULARGE_INTEGER tmstop;
2130
2131         tmstop.u.LowPart = now.dwLowDateTime;
2132         tmstop.u.HighPart = now.dwHighDateTime;
2133
2134         ret = (__int64)(tmstop.QuadPart - tmstart.QuadPart) * 1e-7;
2135     }
2136
2137     return (ret);
2138 }
2139 #elif defined(OPENSSL_SYSTEM_VXWORKS)
2140 # include <time.h>
2141
2142 double app_tminterval(int stop, int usertime)
2143 {
2144     double ret = 0;
2145 # ifdef CLOCK_REALTIME
2146     static struct timespec tmstart;
2147     struct timespec now;
2148 # else
2149     static unsigned long tmstart;
2150     unsigned long now;
2151 # endif
2152     static int warning = 1;
2153
2154     if (usertime && warning) {
2155         BIO_printf(bio_err, "To get meaningful results, run "
2156                    "this program on idle system.\n");
2157         warning = 0;
2158     }
2159 # ifdef CLOCK_REALTIME
2160     clock_gettime(CLOCK_REALTIME, &now);
2161     if (stop == TM_START)
2162         tmstart = now;
2163     else
2164         ret = ((now.tv_sec + now.tv_nsec * 1e-9)
2165                - (tmstart.tv_sec + tmstart.tv_nsec * 1e-9));
2166 # else
2167     now = tickGet();
2168     if (stop == TM_START)
2169         tmstart = now;
2170     else
2171         ret = (now - tmstart) / (double)sysClkRateGet();
2172 # endif
2173     return (ret);
2174 }
2175
2176 #elif defined(OPENSSL_SYSTEM_VMS)
2177 # include <time.h>
2178 # include <times.h>
2179
2180 double app_tminterval(int stop, int usertime)
2181 {
2182     static clock_t tmstart;
2183     double ret = 0;
2184     clock_t now;
2185 # ifdef __TMS
2186     struct tms rus;
2187
2188     now = times(&rus);
2189     if (usertime)
2190         now = rus.tms_utime;
2191 # else
2192     if (usertime)
2193         now = clock();          /* sum of user and kernel times */
2194     else {
2195         struct timeval tv;
2196         gettimeofday(&tv, NULL);
2197         now = (clock_t)((unsigned long long)tv.tv_sec * CLK_TCK +
2198                         (unsigned long long)tv.tv_usec * (1000000 / CLK_TCK)
2199             );
2200     }
2201 # endif
2202     if (stop == TM_START)
2203         tmstart = now;
2204     else
2205         ret = (now - tmstart) / (double)(CLK_TCK);
2206
2207     return (ret);
2208 }
2209
2210 #elif defined(_SC_CLK_TCK)      /* by means of unistd.h */
2211 # include <sys/times.h>
2212
2213 double app_tminterval(int stop, int usertime)
2214 {
2215     double ret = 0;
2216     struct tms rus;
2217     clock_t now = times(&rus);
2218     static clock_t tmstart;
2219
2220     if (usertime)
2221         now = rus.tms_utime;
2222
2223     if (stop == TM_START)
2224         tmstart = now;
2225     else {
2226         long int tck = sysconf(_SC_CLK_TCK);
2227         ret = (now - tmstart) / (double)tck;
2228     }
2229
2230     return (ret);
2231 }
2232
2233 #else
2234 # include <sys/time.h>
2235 # include <sys/resource.h>
2236
2237 double app_tminterval(int stop, int usertime)
2238 {
2239     double ret = 0;
2240     struct rusage rus;
2241     struct timeval now;
2242     static struct timeval tmstart;
2243
2244     if (usertime)
2245         getrusage(RUSAGE_SELF, &rus), now = rus.ru_utime;
2246     else
2247         gettimeofday(&now, NULL);
2248
2249     if (stop == TM_START)
2250         tmstart = now;
2251     else
2252         ret = ((now.tv_sec + now.tv_usec * 1e-6)
2253                - (tmstart.tv_sec + tmstart.tv_usec * 1e-6));
2254
2255     return ret;
2256 }
2257 #endif
2258
2259 int app_access(const char* name, int flag)
2260 {
2261 #ifdef _WIN32
2262     return _access(name, flag);
2263 #else
2264     return access(name, flag);
2265 #endif
2266 }
2267
2268 /* app_isdir section */
2269 #ifdef _WIN32
2270 int app_isdir(const char *name)
2271 {
2272     HANDLE hList;
2273     WIN32_FIND_DATA FileData;
2274 # if defined(UNICODE) || defined(_UNICODE)
2275     size_t i, len_0 = strlen(name) + 1;
2276
2277     if (len_0 > OSSL_NELEM(FileData.cFileName))
2278         return -1;
2279
2280 #  if !defined(_WIN32_WCE) || _WIN32_WCE>=101
2281     if (!MultiByteToWideChar
2282         (CP_ACP, 0, name, len_0, FileData.cFileName, len_0))
2283 #  endif
2284         for (i = 0; i < len_0; i++)
2285             FileData.cFileName[i] = (WCHAR)name[i];
2286
2287     hList = FindFirstFile(FileData.cFileName, &FileData);
2288 # else
2289     hList = FindFirstFile(name, &FileData);
2290 # endif
2291     if (hList == INVALID_HANDLE_VALUE)
2292         return -1;
2293     FindClose(hList);
2294     return ((FileData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY) != 0);
2295 }
2296 #else
2297 # include <sys/stat.h>
2298 # ifndef S_ISDIR
2299 #  if defined(_S_IFMT) && defined(_S_IFDIR)
2300 #   define S_ISDIR(a)   (((a) & _S_IFMT) == _S_IFDIR)
2301 #  else
2302 #   define S_ISDIR(a)   (((a) & S_IFMT) == S_IFDIR)
2303 #  endif
2304 # endif
2305
2306 int app_isdir(const char *name)
2307 {
2308 # if defined(S_ISDIR)
2309     struct stat st;
2310
2311     if (stat(name, &st) == 0)
2312         return S_ISDIR(st.st_mode);
2313     else
2314         return -1;
2315 # else
2316     return -1;
2317 # endif
2318 }
2319 #endif
2320
2321 /* raw_read|write section */
2322 #if defined(__VMS)
2323 # include "vms_term_sock.h"
2324 static int stdin_sock = -1;
2325
2326 static void close_stdin_sock(void)
2327 {
2328     TerminalSocket (TERM_SOCK_DELETE, &stdin_sock);
2329 }
2330
2331 int fileno_stdin(void)
2332 {
2333     if (stdin_sock == -1) {
2334         TerminalSocket(TERM_SOCK_CREATE, &stdin_sock);
2335         atexit(close_stdin_sock);
2336     }
2337
2338     return stdin_sock;
2339 }
2340 #else
2341 int fileno_stdin(void)
2342 {
2343     return fileno(stdin);
2344 }
2345 #endif
2346
2347 int fileno_stdout(void)
2348 {
2349     return fileno(stdout);
2350 }
2351
2352 #if defined(_WIN32) && defined(STD_INPUT_HANDLE)
2353 int raw_read_stdin(void *buf, int siz)
2354 {
2355     DWORD n;
2356     if (ReadFile(GetStdHandle(STD_INPUT_HANDLE), buf, siz, &n, NULL))
2357         return (n);
2358     else
2359         return (-1);
2360 }
2361 #elif defined(__VMS)
2362 #include <sys/socket.h>
2363
2364 int raw_read_stdin(void *buf, int siz)
2365 {
2366     return recv(fileno_stdin(), buf, siz, 0);
2367 }
2368 #else
2369 int raw_read_stdin(void *buf, int siz)
2370 {
2371     return read(fileno_stdin(), buf, siz);
2372 }
2373 #endif
2374
2375 #if defined(_WIN32) && defined(STD_OUTPUT_HANDLE)
2376 int raw_write_stdout(const void *buf, int siz)
2377 {
2378     DWORD n;
2379     if (WriteFile(GetStdHandle(STD_OUTPUT_HANDLE), buf, siz, &n, NULL))
2380         return (n);
2381     else
2382         return (-1);
2383 }
2384 #else
2385 int raw_write_stdout(const void *buf, int siz)
2386 {
2387     return write(fileno_stdout(), buf, siz);
2388 }
2389 #endif
2390
2391 /*
2392  * Centralized handling if input and output files with format specification
2393  * The format is meant to show what the input and output is supposed to be,
2394  * and is therefore a show of intent more than anything else.  However, it
2395  * does impact behavior on some platform, such as differentiating between
2396  * text and binary input/output on non-Unix platforms
2397  */
2398 static int istext(int format)
2399 {
2400     return (format & B_FORMAT_TEXT) == B_FORMAT_TEXT;
2401 }
2402
2403 BIO *dup_bio_in(int format)
2404 {
2405     return BIO_new_fp(stdin,
2406                       BIO_NOCLOSE | (istext(format) ? BIO_FP_TEXT : 0));
2407 }
2408
2409 BIO *dup_bio_out(int format)
2410 {
2411     BIO *b = BIO_new_fp(stdout,
2412                         BIO_NOCLOSE | (istext(format) ? BIO_FP_TEXT : 0));
2413 #ifdef OPENSSL_SYS_VMS
2414     if (istext(format))
2415         b = BIO_push(BIO_new(BIO_f_linebuffer()), b);
2416 #endif
2417     return b;
2418 }
2419
2420 BIO *dup_bio_err(int format)
2421 {
2422     BIO *b = BIO_new_fp(stderr,
2423                         BIO_NOCLOSE | (istext(format) ? BIO_FP_TEXT : 0));
2424 #ifdef OPENSSL_SYS_VMS
2425     if (istext(format))
2426         b = BIO_push(BIO_new(BIO_f_linebuffer()), b);
2427 #endif
2428     return b;
2429 }
2430
2431 void unbuffer(FILE *fp)
2432 {
2433 /*
2434  * On VMS, setbuf() will only take 32-bit pointers, and a compilation
2435  * with /POINTER_SIZE=64 will give off a MAYLOSEDATA2 warning here.
2436  * However, we trust that the C RTL will never give us a FILE pointer
2437  * above the first 4 GB of memory, so we simply turn off the warning
2438  * temporarily.
2439  */
2440 #if defined(OPENSSL_SYS_VMS) && defined(__DECC)
2441 # pragma environment save
2442 # pragma message disable maylosedata2
2443 #endif
2444     setbuf(fp, NULL);
2445 #if defined(OPENSSL_SYS_VMS) && defined(__DECC)
2446 # pragma environment restore
2447 #endif
2448 }
2449
2450 static const char *modestr(char mode, int format)
2451 {
2452     OPENSSL_assert(mode == 'a' || mode == 'r' || mode == 'w');
2453
2454     switch (mode) {
2455     case 'a':
2456         return istext(format) ? "a" : "ab";
2457     case 'r':
2458         return istext(format) ? "r" : "rb";
2459     case 'w':
2460         return istext(format) ? "w" : "wb";
2461     }
2462     /* The assert above should make sure we never reach this point */
2463     return NULL;
2464 }
2465
2466 static const char *modeverb(char mode)
2467 {
2468     switch (mode) {
2469     case 'a':
2470         return "appending";
2471     case 'r':
2472         return "reading";
2473     case 'w':
2474         return "writing";
2475     }
2476     return "(doing something)";
2477 }
2478
2479 /*
2480  * Open a file for writing, owner-read-only.
2481  */
2482 BIO *bio_open_owner(const char *filename, int format, int private)
2483 {
2484     FILE *fp = NULL;
2485     BIO *b = NULL;
2486     int fd = -1, bflags, mode, textmode;
2487
2488     if (!private || filename == NULL || strcmp(filename, "-") == 0)
2489         return bio_open_default(filename, 'w', format);
2490
2491     mode = O_WRONLY;
2492 #ifdef O_CREAT
2493     mode |= O_CREAT;
2494 #endif
2495 #ifdef O_TRUNC
2496     mode |= O_TRUNC;
2497 #endif
2498     textmode = istext(format);
2499     if (!textmode) {
2500 #ifdef O_BINARY
2501         mode |= O_BINARY;
2502 #elif defined(_O_BINARY)
2503         mode |= _O_BINARY;
2504 #endif
2505     }
2506
2507 #ifdef OPENSSL_SYS_VMS
2508     /* VMS doesn't have O_BINARY, it just doesn't make sense.  But,
2509      * it still needs to know that we're going binary, or fdopen()
2510      * will fail with "invalid argument"...  so we tell VMS what the
2511      * context is.
2512      */
2513     if (!textmode)
2514         fd = open(filename, mode, 0600, "ctx=bin");
2515     else
2516 #endif
2517         fd = open(filename, mode, 0600);
2518     if (fd < 0)
2519         goto err;
2520     fp = fdopen(fd, modestr('w', format));
2521     if (fp == NULL)
2522         goto err;
2523     bflags = BIO_CLOSE;
2524     if (textmode)
2525         bflags |= BIO_FP_TEXT;
2526     b = BIO_new_fp(fp, bflags);
2527     if (b)
2528         return b;
2529
2530  err:
2531     BIO_printf(bio_err, "%s: Can't open \"%s\" for writing, %s\n",
2532                opt_getprog(), filename, strerror(errno));
2533     ERR_print_errors(bio_err);
2534     /* If we have fp, then fdopen took over fd, so don't close both. */
2535     if (fp)
2536         fclose(fp);
2537     else if (fd >= 0)
2538         close(fd);
2539     return NULL;
2540 }
2541
2542 static BIO *bio_open_default_(const char *filename, char mode, int format,
2543                               int quiet)
2544 {
2545     BIO *ret;
2546
2547     if (filename == NULL || strcmp(filename, "-") == 0) {
2548         ret = mode == 'r' ? dup_bio_in(format) : dup_bio_out(format);
2549         if (quiet) {
2550             ERR_clear_error();
2551             return ret;
2552         }
2553         if (ret != NULL)
2554             return ret;
2555         BIO_printf(bio_err,
2556                    "Can't open %s, %s\n",
2557                    mode == 'r' ? "stdin" : "stdout", strerror(errno));
2558     } else {
2559         ret = BIO_new_file(filename, modestr(mode, format));
2560         if (quiet) {
2561             ERR_clear_error();
2562             return ret;
2563         }
2564         if (ret != NULL)
2565             return ret;
2566         BIO_printf(bio_err,
2567                    "Can't open %s for %s, %s\n",
2568                    filename, modeverb(mode), strerror(errno));
2569     }
2570     ERR_print_errors(bio_err);
2571     return NULL;
2572 }
2573
2574 BIO *bio_open_default(const char *filename, char mode, int format)
2575 {
2576     return bio_open_default_(filename, mode, format, 0);
2577 }
2578
2579 BIO *bio_open_default_quiet(const char *filename, char mode, int format)
2580 {
2581     return bio_open_default_(filename, mode, format, 1);
2582 }
2583
2584 void wait_for_async(SSL *s)
2585 {
2586     /* On Windows select only works for sockets, so we simply don't wait  */
2587 #ifndef OPENSSL_SYS_WINDOWS
2588     int width = 0;
2589     fd_set asyncfds;
2590     OSSL_ASYNC_FD *fds;
2591     size_t numfds;
2592
2593     if (!SSL_get_all_async_fds(s, NULL, &numfds))
2594         return;
2595     if (numfds == 0)
2596         return;
2597     fds = app_malloc(sizeof(OSSL_ASYNC_FD) * numfds, "allocate async fds");
2598     if (!SSL_get_all_async_fds(s, fds, &numfds)) {
2599         OPENSSL_free(fds);
2600     }
2601
2602     FD_ZERO(&asyncfds);
2603     while (numfds > 0) {
2604         if (width <= (int)*fds)
2605             width = (int)*fds + 1;
2606         openssl_fdset((int)*fds, &asyncfds);
2607         numfds--;
2608         fds++;
2609     }
2610     select(width, (void *)&asyncfds, NULL, NULL, NULL);
2611 #endif
2612 }
2613
2614 /* if OPENSSL_SYS_WINDOWS is defined then so is OPENSSL_SYS_MSDOS */
2615 #if defined(OPENSSL_SYS_MSDOS)
2616 int has_stdin_waiting(void)
2617 {
2618 # if defined(OPENSSL_SYS_WINDOWS)
2619     HANDLE inhand = GetStdHandle(STD_INPUT_HANDLE);
2620     DWORD events = 0;
2621     INPUT_RECORD inputrec;
2622     DWORD insize = 1;
2623     BOOL peeked;
2624
2625     if (inhand == INVALID_HANDLE_VALUE) {
2626         return 0;
2627     }
2628
2629     peeked = PeekConsoleInput(inhand, &inputrec, insize, &events);
2630     if (!peeked) {
2631         /* Probably redirected input? _kbhit() does not work in this case */
2632         if (!feof(stdin)) {
2633             return 1;
2634         }
2635         return 0;
2636     }
2637 # endif
2638     return _kbhit();
2639 }
2640 #endif
2641
2642 /* Corrupt a signature by modifying final byte */
2643 void corrupt_signature(const ASN1_STRING *signature)
2644 {
2645         unsigned char *s = signature->data;
2646         s[signature->length - 1] ^= 0x1;
2647 }
2648
2649 int set_cert_times(X509 *x, const char *startdate, const char *enddate,
2650                    int days)
2651 {
2652     if (startdate == NULL || strcmp(startdate, "today") == 0) {
2653         if (X509_gmtime_adj(X509_getm_notBefore(x), 0) == NULL)
2654             return 0;
2655     } else {
2656         if (!ASN1_TIME_set_string(X509_getm_notBefore(x), startdate))
2657             return 0;
2658     }
2659     if (enddate == NULL) {
2660         if (X509_time_adj_ex(X509_getm_notAfter(x), days, 0, NULL)
2661             == NULL)
2662             return 0;
2663     } else if (!ASN1_TIME_set_string(X509_getm_notAfter(x), enddate)) {
2664         return 0;
2665     }
2666     return 1;
2667 }