fix return value of get_cert_chain()
[openssl.git] / apps / pkcs12.c
1 /* pkcs12.c */
2 /* Written by Dr Stephen N Henson (shenson@bigfoot.com) for the OpenSSL
3  * project.
4  */
5 /* ====================================================================
6  * Copyright (c) 1999-2006 The OpenSSL Project.  All rights reserved.
7  *
8  * Redistribution and use in source and binary forms, with or without
9  * modification, are permitted provided that the following conditions
10  * are met:
11  *
12  * 1. Redistributions of source code must retain the above copyright
13  *    notice, this list of conditions and the following disclaimer. 
14  *
15  * 2. Redistributions in binary form must reproduce the above copyright
16  *    notice, this list of conditions and the following disclaimer in
17  *    the documentation and/or other materials provided with the
18  *    distribution.
19  *
20  * 3. All advertising materials mentioning features or use of this
21  *    software must display the following acknowledgment:
22  *    "This product includes software developed by the OpenSSL Project
23  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
24  *
25  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
26  *    endorse or promote products derived from this software without
27  *    prior written permission. For written permission, please contact
28  *    licensing@OpenSSL.org.
29  *
30  * 5. Products derived from this software may not be called "OpenSSL"
31  *    nor may "OpenSSL" appear in their names without prior written
32  *    permission of the OpenSSL Project.
33  *
34  * 6. Redistributions of any form whatsoever must retain the following
35  *    acknowledgment:
36  *    "This product includes software developed by the OpenSSL Project
37  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
38  *
39  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
40  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
41  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
42  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
43  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
44  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
45  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
46  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
48  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
49  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
50  * OF THE POSSIBILITY OF SUCH DAMAGE.
51  * ====================================================================
52  *
53  * This product includes cryptographic software written by Eric Young
54  * (eay@cryptsoft.com).  This product includes software written by Tim
55  * Hudson (tjh@cryptsoft.com).
56  *
57  */
58
59 #include <openssl/opensslconf.h>
60 #if !defined(OPENSSL_NO_DES) && !defined(OPENSSL_NO_SHA1)
61
62 #include <stdio.h>
63 #include <stdlib.h>
64 #include <string.h>
65 #include "apps.h"
66 #include <openssl/crypto.h>
67 #include <openssl/err.h>
68 #include <openssl/pem.h>
69 #include <openssl/pkcs12.h>
70
71 #define PROG pkcs12_main
72
73 const EVP_CIPHER *enc;
74
75
76 #define NOKEYS          0x1
77 #define NOCERTS         0x2
78 #define INFO            0x4
79 #define CLCERTS         0x8
80 #define CACERTS         0x10
81
82 int get_cert_chain (X509 *cert, X509_STORE *store, STACK_OF(X509) **chain);
83 int dump_certs_keys_p12(BIO *out, PKCS12 *p12, char *pass, int passlen, int options, char *pempass);
84 int dump_certs_pkeys_bags(BIO *out, STACK_OF(PKCS12_SAFEBAG) *bags, char *pass,
85                           int passlen, int options, char *pempass);
86 int dump_certs_pkeys_bag(BIO *out, PKCS12_SAFEBAG *bags, char *pass, int passlen, int options, char *pempass);
87 int print_attribs(BIO *out, STACK_OF(X509_ATTRIBUTE) *attrlst,const char *name);
88 void hex_prin(BIO *out, unsigned char *buf, int len);
89 int alg_print(BIO *x, X509_ALGOR *alg);
90 int cert_load(BIO *in, STACK_OF(X509) *sk);
91 static int set_pbe(BIO *err, int *ppbe, const char *str);
92
93 int MAIN(int, char **);
94
95 int MAIN(int argc, char **argv)
96 {
97     ENGINE *e = NULL;
98     char *infile=NULL, *outfile=NULL, *keyname = NULL;  
99     char *certfile=NULL;
100     BIO *in=NULL, *out = NULL;
101     char **args;
102     char *name = NULL;
103     char *csp_name = NULL;
104     PKCS12 *p12 = NULL;
105     char pass[50], macpass[50];
106     int export_cert = 0;
107     int options = 0;
108     int chain = 0;
109     int badarg = 0;
110     int iter = PKCS12_DEFAULT_ITER;
111     int maciter = PKCS12_DEFAULT_ITER;
112     int twopass = 0;
113     int keytype = 0;
114     int cert_pbe = NID_pbe_WithSHA1And40BitRC2_CBC;
115     int key_pbe = NID_pbe_WithSHA1And3_Key_TripleDES_CBC;
116     int ret = 1;
117     int macver = 1;
118     int noprompt = 0;
119     STACK *canames = NULL;
120     char *cpass = NULL, *mpass = NULL;
121     char *passargin = NULL, *passargout = NULL, *passarg = NULL;
122     char *passin = NULL, *passout = NULL;
123     char *inrand = NULL;
124     char *macalg = NULL;
125     char *CApath = NULL, *CAfile = NULL;
126 #ifndef OPENSSL_NO_ENGINE
127     char *engine=NULL;
128 #endif
129
130     apps_startup();
131
132     enc = EVP_des_ede3_cbc();
133     if (bio_err == NULL ) bio_err = BIO_new_fp (stderr, BIO_NOCLOSE);
134
135         if (!load_config(bio_err, NULL))
136                 goto end;
137
138     args = argv + 1;
139
140
141     while (*args) {
142         if (*args[0] == '-') {
143                 if (!strcmp (*args, "-nokeys")) options |= NOKEYS;
144                 else if (!strcmp (*args, "-keyex")) keytype = KEY_EX;
145                 else if (!strcmp (*args, "-keysig")) keytype = KEY_SIG;
146                 else if (!strcmp (*args, "-nocerts")) options |= NOCERTS;
147                 else if (!strcmp (*args, "-clcerts")) options |= CLCERTS;
148                 else if (!strcmp (*args, "-cacerts")) options |= CACERTS;
149                 else if (!strcmp (*args, "-noout")) options |= (NOKEYS|NOCERTS);
150                 else if (!strcmp (*args, "-info")) options |= INFO;
151                 else if (!strcmp (*args, "-chain")) chain = 1;
152                 else if (!strcmp (*args, "-twopass")) twopass = 1;
153                 else if (!strcmp (*args, "-nomacver")) macver = 0;
154                 else if (!strcmp (*args, "-descert"))
155                         cert_pbe = NID_pbe_WithSHA1And3_Key_TripleDES_CBC;
156                 else if (!strcmp (*args, "-export")) export_cert = 1;
157                 else if (!strcmp (*args, "-des")) enc=EVP_des_cbc();
158 #ifndef OPENSSL_NO_IDEA
159                 else if (!strcmp (*args, "-idea")) enc=EVP_idea_cbc();
160 #endif
161                 else if (!strcmp (*args, "-des3")) enc = EVP_des_ede3_cbc();
162 #ifndef OPENSSL_NO_AES
163                 else if (!strcmp(*args,"-aes128")) enc=EVP_aes_128_cbc();
164                 else if (!strcmp(*args,"-aes192")) enc=EVP_aes_192_cbc();
165                 else if (!strcmp(*args,"-aes256")) enc=EVP_aes_256_cbc();
166 #endif
167 #ifndef OPENSSL_NO_CAMELLIA
168                 else if (!strcmp(*args,"-camellia128")) enc=EVP_camellia_128_cbc();
169                 else if (!strcmp(*args,"-camellia192")) enc=EVP_camellia_192_cbc();
170                 else if (!strcmp(*args,"-camellia256")) enc=EVP_camellia_256_cbc();
171 #endif
172                 else if (!strcmp (*args, "-noiter")) iter = 1;
173                 else if (!strcmp (*args, "-maciter"))
174                                          maciter = PKCS12_DEFAULT_ITER;
175                 else if (!strcmp (*args, "-nomaciter"))
176                                          maciter = 1;
177                 else if (!strcmp (*args, "-nomac"))
178                                          maciter = -1;
179                 else if (!strcmp (*args, "-macalg"))
180                     if (args[1]) {
181                         args++; 
182                         macalg = *args;
183                     } else badarg = 1;
184                 else if (!strcmp (*args, "-nodes")) enc=NULL;
185                 else if (!strcmp (*args, "-certpbe")) {
186                         if (!set_pbe(bio_err, &cert_pbe, *++args))
187                                 badarg = 1;
188                 } else if (!strcmp (*args, "-keypbe")) {
189                         if (!set_pbe(bio_err, &key_pbe, *++args))
190                                 badarg = 1;
191                 } else if (!strcmp (*args, "-rand")) {
192                     if (args[1]) {
193                         args++; 
194                         inrand = *args;
195                     } else badarg = 1;
196                 } else if (!strcmp (*args, "-inkey")) {
197                     if (args[1]) {
198                         args++; 
199                         keyname = *args;
200                     } else badarg = 1;
201                 } else if (!strcmp (*args, "-certfile")) {
202                     if (args[1]) {
203                         args++; 
204                         certfile = *args;
205                     } else badarg = 1;
206                 } else if (!strcmp (*args, "-name")) {
207                     if (args[1]) {
208                         args++; 
209                         name = *args;
210                     } else badarg = 1;
211                 } else if (!strcmp (*args, "-CSP")) {
212                     if (args[1]) {
213                         args++; 
214                         csp_name = *args;
215                     } else badarg = 1;
216                 } else if (!strcmp (*args, "-caname")) {
217                     if (args[1]) {
218                         args++; 
219                         if (!canames) canames = sk_new_null();
220                         sk_push(canames, *args);
221                     } else badarg = 1;
222                 } else if (!strcmp (*args, "-in")) {
223                     if (args[1]) {
224                         args++; 
225                         infile = *args;
226                     } else badarg = 1;
227                 } else if (!strcmp (*args, "-out")) {
228                     if (args[1]) {
229                         args++; 
230                         outfile = *args;
231                     } else badarg = 1;
232                 } else if (!strcmp(*args,"-passin")) {
233                     if (args[1]) {
234                         args++; 
235                         passargin = *args;
236                     } else badarg = 1;
237                 } else if (!strcmp(*args,"-passout")) {
238                     if (args[1]) {
239                         args++; 
240                         passargout = *args;
241                     } else badarg = 1;
242                 } else if (!strcmp (*args, "-password")) {
243                     if (args[1]) {
244                         args++; 
245                         passarg = *args;
246                         noprompt = 1;
247                     } else badarg = 1;
248                 } else if (!strcmp(*args,"-CApath")) {
249                     if (args[1]) {
250                         args++; 
251                         CApath = *args;
252                     } else badarg = 1;
253                 } else if (!strcmp(*args,"-CAfile")) {
254                     if (args[1]) {
255                         args++; 
256                         CAfile = *args;
257                     } else badarg = 1;
258 #ifndef OPENSSL_NO_ENGINE
259                 } else if (!strcmp(*args,"-engine")) {
260                     if (args[1]) {
261                         args++; 
262                         engine = *args;
263                     } else badarg = 1;
264 #endif
265                 } else badarg = 1;
266
267         } else badarg = 1;
268         args++;
269     }
270
271     if (badarg) {
272         BIO_printf (bio_err, "Usage: pkcs12 [options]\n");
273         BIO_printf (bio_err, "where options are\n");
274         BIO_printf (bio_err, "-export       output PKCS12 file\n");
275         BIO_printf (bio_err, "-chain        add certificate chain\n");
276         BIO_printf (bio_err, "-inkey file   private key if not infile\n");
277         BIO_printf (bio_err, "-certfile f   add all certs in f\n");
278         BIO_printf (bio_err, "-CApath arg   - PEM format directory of CA's\n");
279         BIO_printf (bio_err, "-CAfile arg   - PEM format file of CA's\n");
280         BIO_printf (bio_err, "-name \"name\"  use name as friendly name\n");
281         BIO_printf (bio_err, "-caname \"nm\"  use nm as CA friendly name (can be used more than once).\n");
282         BIO_printf (bio_err, "-in  infile   input filename\n");
283         BIO_printf (bio_err, "-out outfile  output filename\n");
284         BIO_printf (bio_err, "-noout        don't output anything, just verify.\n");
285         BIO_printf (bio_err, "-nomacver     don't verify MAC.\n");
286         BIO_printf (bio_err, "-nocerts      don't output certificates.\n");
287         BIO_printf (bio_err, "-clcerts      only output client certificates.\n");
288         BIO_printf (bio_err, "-cacerts      only output CA certificates.\n");
289         BIO_printf (bio_err, "-nokeys       don't output private keys.\n");
290         BIO_printf (bio_err, "-info         give info about PKCS#12 structure.\n");
291         BIO_printf (bio_err, "-des          encrypt private keys with DES\n");
292         BIO_printf (bio_err, "-des3         encrypt private keys with triple DES (default)\n");
293 #ifndef OPENSSL_NO_IDEA
294         BIO_printf (bio_err, "-idea         encrypt private keys with idea\n");
295 #endif
296 #ifndef OPENSSL_NO_AES
297         BIO_printf (bio_err, "-aes128, -aes192, -aes256\n");
298         BIO_printf (bio_err, "              encrypt PEM output with cbc aes\n");
299 #endif
300 #ifndef OPENSSL_NO_CAMELLIA
301         BIO_printf (bio_err, "-camellia128, -camellia192, -camellia256\n");
302         BIO_printf (bio_err, "              encrypt PEM output with cbc camellia\n");
303 #endif
304         BIO_printf (bio_err, "-nodes        don't encrypt private keys\n");
305         BIO_printf (bio_err, "-noiter       don't use encryption iteration\n");
306         BIO_printf (bio_err, "-nomaciter    don't use MAC iteration\n");
307         BIO_printf (bio_err, "-maciter      use MAC iteration\n");
308         BIO_printf (bio_err, "-nomac        don't generate MAC\n");
309         BIO_printf (bio_err, "-twopass      separate MAC, encryption passwords\n");
310         BIO_printf (bio_err, "-descert      encrypt PKCS#12 certificates with triple DES (default RC2-40)\n");
311         BIO_printf (bio_err, "-certpbe alg  specify certificate PBE algorithm (default RC2-40)\n");
312         BIO_printf (bio_err, "-keypbe alg   specify private key PBE algorithm (default 3DES)\n");
313         BIO_printf (bio_err, "-macalg alg   digest algorithm used in MAC (default SHA1)\n");
314         BIO_printf (bio_err, "-keyex        set MS key exchange type\n");
315         BIO_printf (bio_err, "-keysig       set MS key signature type\n");
316         BIO_printf (bio_err, "-password p   set import/export password source\n");
317         BIO_printf (bio_err, "-passin p     input file pass phrase source\n");
318         BIO_printf (bio_err, "-passout p    output file pass phrase source\n");
319 #ifndef OPENSSL_NO_ENGINE
320         BIO_printf (bio_err, "-engine e     use engine e, possibly a hardware device.\n");
321 #endif
322         BIO_printf(bio_err,  "-rand file%cfile%c...\n", LIST_SEPARATOR_CHAR, LIST_SEPARATOR_CHAR);
323         BIO_printf(bio_err,  "              load the file (or the files in the directory) into\n");
324         BIO_printf(bio_err,  "              the random number generator\n");
325         BIO_printf(bio_err,  "-CSP name     Microsoft CSP name\n");
326         goto end;
327     }
328
329 #ifndef OPENSSL_NO_ENGINE
330     e = setup_engine(bio_err, engine, 0);
331 #endif
332
333     if(passarg) {
334         if(export_cert) passargout = passarg;
335         else passargin = passarg;
336     }
337
338     if(!app_passwd(bio_err, passargin, passargout, &passin, &passout)) {
339         BIO_printf(bio_err, "Error getting passwords\n");
340         goto end;
341     }
342
343     if(!cpass) {
344         if(export_cert) cpass = passout;
345         else cpass = passin;
346     }
347
348     if(cpass) {
349         mpass = cpass;
350         noprompt = 1;
351     } else {
352         cpass = pass;
353         mpass = macpass;
354     }
355
356     if(export_cert || inrand) {
357         app_RAND_load_file(NULL, bio_err, (inrand != NULL));
358         if (inrand != NULL)
359                 BIO_printf(bio_err,"%ld semi-random bytes loaded\n",
360                         app_RAND_load_files(inrand));
361     }
362     ERR_load_crypto_strings();
363
364 #ifdef CRYPTO_MDEBUG
365     CRYPTO_push_info("read files");
366 #endif
367
368     if (!infile) in = BIO_new_fp(stdin, BIO_NOCLOSE);
369     else in = BIO_new_file(infile, "rb");
370     if (!in) {
371             BIO_printf(bio_err, "Error opening input file %s\n",
372                                                 infile ? infile : "<stdin>");
373             perror (infile);
374             goto end;
375    }
376
377 #ifdef CRYPTO_MDEBUG
378     CRYPTO_pop_info();
379     CRYPTO_push_info("write files");
380 #endif
381
382     if (!outfile) {
383         out = BIO_new_fp(stdout, BIO_NOCLOSE);
384 #ifdef OPENSSL_SYS_VMS
385         {
386             BIO *tmpbio = BIO_new(BIO_f_linebuffer());
387             out = BIO_push(tmpbio, out);
388         }
389 #endif
390     } else out = BIO_new_file(outfile, "wb");
391     if (!out) {
392         BIO_printf(bio_err, "Error opening output file %s\n",
393                                                 outfile ? outfile : "<stdout>");
394         perror (outfile);
395         goto end;
396     }
397     if (twopass) {
398 #ifdef CRYPTO_MDEBUG
399     CRYPTO_push_info("read MAC password");
400 #endif
401         if(EVP_read_pw_string (macpass, sizeof macpass, "Enter MAC Password:", export_cert))
402         {
403             BIO_printf (bio_err, "Can't read Password\n");
404             goto end;
405         }
406 #ifdef CRYPTO_MDEBUG
407     CRYPTO_pop_info();
408 #endif
409     }
410
411     if (export_cert) {
412         EVP_PKEY *key = NULL;
413         X509 *ucert = NULL, *x = NULL;
414         STACK_OF(X509) *certs=NULL;
415         const EVP_MD *macmd = NULL;
416         unsigned char *catmp = NULL;
417         int i;
418
419         if ((options & (NOCERTS|NOKEYS)) == (NOCERTS|NOKEYS))
420                 {       
421                 BIO_printf(bio_err, "Nothing to do!\n");
422                 goto export_end;
423                 }
424
425         if (options & NOCERTS)
426                 chain = 0;
427
428 #ifdef CRYPTO_MDEBUG
429         CRYPTO_push_info("process -export_cert");
430         CRYPTO_push_info("reading private key");
431 #endif
432         if (!(options & NOKEYS))
433                 {
434                 key = load_key(bio_err, keyname ? keyname : infile,
435                                 FORMAT_PEM, 1, passin, e, "private key");
436                 if (!key)
437                         goto export_end;
438                 }
439
440 #ifdef CRYPTO_MDEBUG
441         CRYPTO_pop_info();
442         CRYPTO_push_info("reading certs from input");
443 #endif
444
445         /* Load in all certs in input file */
446         if(!(options & NOCERTS))
447                 {
448                 certs = load_certs(bio_err, infile, FORMAT_PEM, NULL, e,
449                                                         "certificates");
450                 if (!certs)
451                         goto export_end;
452
453                 if (key)
454                         {
455                         /* Look for matching private key */
456                         for(i = 0; i < sk_X509_num(certs); i++)
457                                 {
458                                 x = sk_X509_value(certs, i);
459                                 if(X509_check_private_key(x, key))
460                                         {
461                                         ucert = x;
462                                         /* Zero keyid and alias */
463                                         X509_keyid_set1(ucert, NULL, 0);
464                                         X509_alias_set1(ucert, NULL, 0);
465                                         /* Remove from list */
466                                         sk_X509_delete(certs, i);
467                                         break;
468                                         }
469                                 }
470                         if (!ucert)
471                                 {
472                                 BIO_printf(bio_err, "No certificate matches private key\n");
473                                 goto export_end;
474                                 }
475                         }
476
477                 }
478
479 #ifdef CRYPTO_MDEBUG
480         CRYPTO_pop_info();
481         CRYPTO_push_info("reading certs from input 2");
482 #endif
483
484         /* Add any more certificates asked for */
485         if(certfile)
486                 {
487                 STACK_OF(X509) *morecerts=NULL;
488                 if(!(morecerts = load_certs(bio_err, certfile, FORMAT_PEM,
489                                             NULL, e,
490                                             "certificates from certfile")))
491                         goto export_end;
492                 while(sk_X509_num(morecerts) > 0)
493                         sk_X509_push(certs, sk_X509_shift(morecerts));
494                 sk_X509_free(morecerts);
495                 }
496
497 #ifdef CRYPTO_MDEBUG
498         CRYPTO_pop_info();
499         CRYPTO_push_info("reading certs from certfile");
500 #endif
501
502 #ifdef CRYPTO_MDEBUG
503         CRYPTO_pop_info();
504         CRYPTO_push_info("building chain");
505 #endif
506
507         /* If chaining get chain from user cert */
508         if (chain) {
509                 int vret;
510                 STACK_OF(X509) *chain2;
511                 X509_STORE *store = X509_STORE_new();
512                 if (!store)
513                         {
514                         BIO_printf (bio_err, "Memory allocation error\n");
515                         goto export_end;
516                         }
517                 if (!X509_STORE_load_locations(store, CAfile, CApath))
518                         X509_STORE_set_default_paths (store);
519
520                 vret = get_cert_chain (ucert, store, &chain2);
521                 X509_STORE_free(store);
522
523                 if (!vret) {
524                     /* Exclude verified certificate */
525                     for (i = 1; i < sk_X509_num (chain2) ; i++) 
526                         sk_X509_push(certs, sk_X509_value (chain2, i));
527                     /* Free first certificate */
528                     X509_free(sk_X509_value(chain2, 0));
529                     sk_X509_free(chain2);
530                 } else {
531                         if (vret >= 0)
532                                 BIO_printf (bio_err, "Error %s getting chain.\n",
533                                         X509_verify_cert_error_string(vret));
534                         else
535                                 ERR_print_errors(bio_err);
536                         goto export_end;
537                 }                       
538         }
539
540         /* Add any CA names */
541
542         for (i = 0; i < sk_num(canames); i++)
543                 {
544                 catmp = (unsigned char *)sk_value(canames, i);
545                 X509_alias_set1(sk_X509_value(certs, i), catmp, -1);
546                 }
547
548         if (csp_name && key)
549                 EVP_PKEY_add1_attr_by_NID(key, NID_ms_csp_name,
550                                 MBSTRING_ASC, (unsigned char *)csp_name, -1);
551                 
552
553 #ifdef CRYPTO_MDEBUG
554         CRYPTO_pop_info();
555         CRYPTO_push_info("reading password");
556 #endif
557
558         if(!noprompt &&
559                 EVP_read_pw_string(pass, sizeof pass, "Enter Export Password:", 1))
560                 {
561                 BIO_printf (bio_err, "Can't read Password\n");
562                 goto export_end;
563                 }
564         if (!twopass) BUF_strlcpy(macpass, pass, sizeof macpass);
565
566 #ifdef CRYPTO_MDEBUG
567         CRYPTO_pop_info();
568         CRYPTO_push_info("creating PKCS#12 structure");
569 #endif
570
571         p12 = PKCS12_create(cpass, name, key, ucert, certs,
572                                 key_pbe, cert_pbe, iter, -1, keytype);
573
574         if (!p12)
575                 {
576                 ERR_print_errors (bio_err);
577                 goto export_end;
578                 }
579
580         if (macalg)
581                 {
582                 macmd = EVP_get_digestbyname(macalg);
583                 if (!macmd)
584                         {
585                         BIO_printf(bio_err, "Unknown digest algorithm %s\n", 
586                                                 macalg);
587                         }
588                 }
589
590         if (maciter != -1)
591                 PKCS12_set_mac(p12, mpass, -1, NULL, 0, maciter, macmd);
592
593 #ifdef CRYPTO_MDEBUG
594         CRYPTO_pop_info();
595         CRYPTO_push_info("writing pkcs12");
596 #endif
597
598         i2d_PKCS12_bio(out, p12);
599
600         ret = 0;
601
602     export_end:
603 #ifdef CRYPTO_MDEBUG
604         CRYPTO_pop_info();
605         CRYPTO_pop_info();
606         CRYPTO_push_info("process -export_cert: freeing");
607 #endif
608
609         if (key) EVP_PKEY_free(key);
610         if (certs) sk_X509_pop_free(certs, X509_free);
611         if (ucert) X509_free(ucert);
612
613 #ifdef CRYPTO_MDEBUG
614         CRYPTO_pop_info();
615 #endif
616         goto end;
617         
618     }
619
620     if (!(p12 = d2i_PKCS12_bio (in, NULL))) {
621         ERR_print_errors(bio_err);
622         goto end;
623     }
624
625 #ifdef CRYPTO_MDEBUG
626     CRYPTO_push_info("read import password");
627 #endif
628     if(!noprompt && EVP_read_pw_string(pass, sizeof pass, "Enter Import Password:", 0)) {
629         BIO_printf (bio_err, "Can't read Password\n");
630         goto end;
631     }
632 #ifdef CRYPTO_MDEBUG
633     CRYPTO_pop_info();
634 #endif
635
636     if (!twopass) BUF_strlcpy(macpass, pass, sizeof macpass);
637
638     if (options & INFO) BIO_printf (bio_err, "MAC Iteration %ld\n", p12->mac->iter ? ASN1_INTEGER_get (p12->mac->iter) : 1);
639     if(macver) {
640 #ifdef CRYPTO_MDEBUG
641     CRYPTO_push_info("verify MAC");
642 #endif
643         /* If we enter empty password try no password first */
644         if(!mpass[0] && PKCS12_verify_mac(p12, NULL, 0)) {
645                 /* If mac and crypto pass the same set it to NULL too */
646                 if(!twopass) cpass = NULL;
647         } else if (!PKCS12_verify_mac(p12, mpass, -1)) {
648             BIO_printf (bio_err, "Mac verify error: invalid password?\n");
649             ERR_print_errors (bio_err);
650             goto end;
651         }
652         BIO_printf (bio_err, "MAC verified OK\n");
653 #ifdef CRYPTO_MDEBUG
654     CRYPTO_pop_info();
655 #endif
656     }
657
658 #ifdef CRYPTO_MDEBUG
659     CRYPTO_push_info("output keys and certificates");
660 #endif
661     if (!dump_certs_keys_p12 (out, p12, cpass, -1, options, passout)) {
662         BIO_printf(bio_err, "Error outputting keys and certificates\n");
663         ERR_print_errors (bio_err);
664         goto end;
665     }
666 #ifdef CRYPTO_MDEBUG
667     CRYPTO_pop_info();
668 #endif
669     ret = 0;
670  end:
671     if (p12) PKCS12_free(p12);
672     if(export_cert || inrand) app_RAND_write_file(NULL, bio_err);
673 #ifdef CRYPTO_MDEBUG
674     CRYPTO_remove_all_info();
675 #endif
676     BIO_free(in);
677     BIO_free_all(out);
678     if (canames) sk_free(canames);
679     if(passin) OPENSSL_free(passin);
680     if(passout) OPENSSL_free(passout);
681     apps_shutdown();
682     OPENSSL_EXIT(ret);
683 }
684
685 int dump_certs_keys_p12 (BIO *out, PKCS12 *p12, char *pass,
686              int passlen, int options, char *pempass)
687 {
688         STACK_OF(PKCS7) *asafes = NULL;
689         STACK_OF(PKCS12_SAFEBAG) *bags;
690         int i, bagnid;
691         int ret = 0;
692         PKCS7 *p7;
693
694         if (!( asafes = PKCS12_unpack_authsafes(p12))) return 0;
695         for (i = 0; i < sk_PKCS7_num (asafes); i++) {
696                 p7 = sk_PKCS7_value (asafes, i);
697                 bagnid = OBJ_obj2nid (p7->type);
698                 if (bagnid == NID_pkcs7_data) {
699                         bags = PKCS12_unpack_p7data(p7);
700                         if (options & INFO) BIO_printf (bio_err, "PKCS7 Data\n");
701                 } else if (bagnid == NID_pkcs7_encrypted) {
702                         if (options & INFO) {
703                                 BIO_printf(bio_err, "PKCS7 Encrypted data: ");
704                                 alg_print(bio_err, 
705                                         p7->d.encrypted->enc_data->algorithm);
706                         }
707                         bags = PKCS12_unpack_p7encdata(p7, pass, passlen);
708                 } else continue;
709                 if (!bags) goto err;
710                 if (!dump_certs_pkeys_bags (out, bags, pass, passlen, 
711                                                  options, pempass)) {
712                         sk_PKCS12_SAFEBAG_pop_free (bags, PKCS12_SAFEBAG_free);
713                         goto err;
714                 }
715                 sk_PKCS12_SAFEBAG_pop_free (bags, PKCS12_SAFEBAG_free);
716                 bags = NULL;
717         }
718         ret = 1;
719
720         err:
721
722         if (asafes)
723                 sk_PKCS7_pop_free (asafes, PKCS7_free);
724         return ret;
725 }
726
727 int dump_certs_pkeys_bags (BIO *out, STACK_OF(PKCS12_SAFEBAG) *bags,
728                            char *pass, int passlen, int options, char *pempass)
729 {
730         int i;
731         for (i = 0; i < sk_PKCS12_SAFEBAG_num (bags); i++) {
732                 if (!dump_certs_pkeys_bag (out,
733                                            sk_PKCS12_SAFEBAG_value (bags, i),
734                                            pass, passlen,
735                                            options, pempass))
736                     return 0;
737         }
738         return 1;
739 }
740
741 int dump_certs_pkeys_bag (BIO *out, PKCS12_SAFEBAG *bag, char *pass,
742              int passlen, int options, char *pempass)
743 {
744         EVP_PKEY *pkey;
745         PKCS8_PRIV_KEY_INFO *p8;
746         X509 *x509;
747         
748         switch (M_PKCS12_bag_type(bag))
749         {
750         case NID_keyBag:
751                 if (options & INFO) BIO_printf (bio_err, "Key bag\n");
752                 if (options & NOKEYS) return 1;
753                 print_attribs (out, bag->attrib, "Bag Attributes");
754                 p8 = bag->value.keybag;
755                 if (!(pkey = EVP_PKCS82PKEY (p8))) return 0;
756                 print_attribs (out, p8->attributes, "Key Attributes");
757                 PEM_write_bio_PrivateKey (out, pkey, enc, NULL, 0, NULL, pempass);
758                 EVP_PKEY_free(pkey);
759         break;
760
761         case NID_pkcs8ShroudedKeyBag:
762                 if (options & INFO) {
763                         BIO_printf (bio_err, "Shrouded Keybag: ");
764                         alg_print (bio_err, bag->value.shkeybag->algor);
765                 }
766                 if (options & NOKEYS) return 1;
767                 print_attribs (out, bag->attrib, "Bag Attributes");
768                 if (!(p8 = PKCS12_decrypt_skey(bag, pass, passlen)))
769                                 return 0;
770                 if (!(pkey = EVP_PKCS82PKEY (p8))) {
771                         PKCS8_PRIV_KEY_INFO_free(p8);
772                         return 0;
773                 }
774                 print_attribs (out, p8->attributes, "Key Attributes");
775                 PKCS8_PRIV_KEY_INFO_free(p8);
776                 PEM_write_bio_PrivateKey (out, pkey, enc, NULL, 0, NULL, pempass);
777                 EVP_PKEY_free(pkey);
778         break;
779
780         case NID_certBag:
781                 if (options & INFO) BIO_printf (bio_err, "Certificate bag\n");
782                 if (options & NOCERTS) return 1;
783                 if (PKCS12_get_attr(bag, NID_localKeyID)) {
784                         if (options & CACERTS) return 1;
785                 } else if (options & CLCERTS) return 1;
786                 print_attribs (out, bag->attrib, "Bag Attributes");
787                 if (M_PKCS12_cert_bag_type(bag) != NID_x509Certificate )
788                                                                  return 1;
789                 if (!(x509 = PKCS12_certbag2x509(bag))) return 0;
790                 dump_cert_text (out, x509);
791                 PEM_write_bio_X509 (out, x509);
792                 X509_free(x509);
793         break;
794
795         case NID_safeContentsBag:
796                 if (options & INFO) BIO_printf (bio_err, "Safe Contents bag\n");
797                 print_attribs (out, bag->attrib, "Bag Attributes");
798                 return dump_certs_pkeys_bags (out, bag->value.safes, pass,
799                                                             passlen, options, pempass);
800                                         
801         default:
802                 BIO_printf (bio_err, "Warning unsupported bag type: ");
803                 i2a_ASN1_OBJECT (bio_err, bag->type);
804                 BIO_printf (bio_err, "\n");
805                 return 1;
806         break;
807         }
808         return 1;
809 }
810
811 /* Given a single certificate return a verified chain or NULL if error */
812
813 /* Hope this is OK .... */
814
815 int get_cert_chain (X509 *cert, X509_STORE *store, STACK_OF(X509) **chain)
816 {
817         X509_STORE_CTX store_ctx;
818         STACK_OF(X509) *chn;
819         int i = 0;
820
821         /* FIXME: Should really check the return status of X509_STORE_CTX_init
822          * for an error, but how that fits into the return value of this
823          * function is less obvious. */
824         X509_STORE_CTX_init(&store_ctx, store, cert, NULL);
825         if (X509_verify_cert(&store_ctx) <= 0) {
826                 i = X509_STORE_CTX_get_error (&store_ctx);
827                 if (i == 0)
828                         /* avoid returning 0 if X509_verify_cert() did not
829                          * set an appropriate error value in the context */
830                         i = -1;
831                 chn = NULL;
832                 goto err;
833         } else
834                 chn = X509_STORE_CTX_get1_chain(&store_ctx);
835 err:
836         X509_STORE_CTX_cleanup(&store_ctx);
837         *chain = chn;
838         
839         return i;
840 }       
841
842 int alg_print (BIO *x, X509_ALGOR *alg)
843 {
844         PBEPARAM *pbe;
845         const unsigned char *p;
846         p = alg->parameter->value.sequence->data;
847         pbe = d2i_PBEPARAM(NULL, &p, alg->parameter->value.sequence->length);
848         if (!pbe)
849                 return 1;
850         BIO_printf (bio_err, "%s, Iteration %ld\n", 
851                 OBJ_nid2ln(OBJ_obj2nid(alg->algorithm)),
852                 ASN1_INTEGER_get(pbe->iter));
853         PBEPARAM_free (pbe);
854         return 1;
855 }
856
857 /* Load all certificates from a given file */
858
859 int cert_load(BIO *in, STACK_OF(X509) *sk)
860 {
861         int ret;
862         X509 *cert;
863         ret = 0;
864 #ifdef CRYPTO_MDEBUG
865         CRYPTO_push_info("cert_load(): reading one cert");
866 #endif
867         while((cert = PEM_read_bio_X509(in, NULL, NULL, NULL))) {
868 #ifdef CRYPTO_MDEBUG
869                 CRYPTO_pop_info();
870 #endif
871                 ret = 1;
872                 sk_X509_push(sk, cert);
873 #ifdef CRYPTO_MDEBUG
874                 CRYPTO_push_info("cert_load(): reading one cert");
875 #endif
876         }
877 #ifdef CRYPTO_MDEBUG
878         CRYPTO_pop_info();
879 #endif
880         if(ret) ERR_clear_error();
881         return ret;
882 }
883
884 /* Generalised attribute print: handle PKCS#8 and bag attributes */
885
886 int print_attribs (BIO *out, STACK_OF(X509_ATTRIBUTE) *attrlst,const char *name)
887 {
888         X509_ATTRIBUTE *attr;
889         ASN1_TYPE *av;
890         char *value;
891         int i, attr_nid;
892         if(!attrlst) {
893                 BIO_printf(out, "%s: <No Attributes>\n", name);
894                 return 1;
895         }
896         if(!sk_X509_ATTRIBUTE_num(attrlst)) {
897                 BIO_printf(out, "%s: <Empty Attributes>\n", name);
898                 return 1;
899         }
900         BIO_printf(out, "%s\n", name);
901         for(i = 0; i < sk_X509_ATTRIBUTE_num(attrlst); i++) {
902                 attr = sk_X509_ATTRIBUTE_value(attrlst, i);
903                 attr_nid = OBJ_obj2nid(attr->object);
904                 BIO_printf(out, "    ");
905                 if(attr_nid == NID_undef) {
906                         i2a_ASN1_OBJECT (out, attr->object);
907                         BIO_printf(out, ": ");
908                 } else BIO_printf(out, "%s: ", OBJ_nid2ln(attr_nid));
909
910                 if(sk_ASN1_TYPE_num(attr->value.set)) {
911                         av = sk_ASN1_TYPE_value(attr->value.set, 0);
912                         switch(av->type) {
913                                 case V_ASN1_BMPSTRING:
914                                 value = uni2asc(av->value.bmpstring->data,
915                                                av->value.bmpstring->length);
916                                 BIO_printf(out, "%s\n", value);
917                                 OPENSSL_free(value);
918                                 break;
919
920                                 case V_ASN1_OCTET_STRING:
921                                 hex_prin(out, av->value.octet_string->data,
922                                         av->value.octet_string->length);
923                                 BIO_printf(out, "\n");  
924                                 break;
925
926                                 case V_ASN1_BIT_STRING:
927                                 hex_prin(out, av->value.bit_string->data,
928                                         av->value.bit_string->length);
929                                 BIO_printf(out, "\n");  
930                                 break;
931
932                                 default:
933                                         BIO_printf(out, "<Unsupported tag %d>\n", av->type);
934                                 break;
935                         }
936                 } else BIO_printf(out, "<No Values>\n");
937         }
938         return 1;
939 }
940
941 void hex_prin(BIO *out, unsigned char *buf, int len)
942 {
943         int i;
944         for (i = 0; i < len; i++) BIO_printf (out, "%02X ", buf[i]);
945 }
946
947 static int set_pbe(BIO *err, int *ppbe, const char *str)
948         {
949         if (!str)
950                 return 0;
951         if (!strcmp(str, "NONE"))
952                 {
953                 *ppbe = -1;
954                 return 1;
955                 }
956         *ppbe=OBJ_txt2nid(str);
957         if (*ppbe == NID_undef)
958                 {
959                 BIO_printf(bio_err, "Unknown PBE algorithm %s\n", str);
960                 return 0;
961                 }
962         return 1;
963         }
964                         
965 #endif