crypto/x509v3/v3_conf.c

   1 /* v3_conf.c */
   2 /* Written by Dr Stephen N Henson (shenson@bigfoot.com) for the OpenSSL
   3  * project 1999.
   4  */
   5 /* ====================================================================
   6  * Copyright (c) 1999 The OpenSSL Project.  All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted provided that the following conditions
  10  * are met:
  11  *
  12  * 1. Redistributions of source code must retain the above copyright
  13  *    notice, this list of conditions and the following disclaimer.
  14  *
  15  * 2. Redistributions in binary form must reproduce the above copyright
  16  *    notice, this list of conditions and the following disclaimer in
  17  *    the documentation and/or other materials provided with the
  18  *    distribution.
  19  *
  20  * 3. All advertising materials mentioning features or use of this
  21  *    software must display the following acknowledgment:
  22  *    "This product includes software developed by the OpenSSL Project
  23  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
  24  *
  25  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  26  *    endorse or promote products derived from this software without
  27  *    prior written permission. For written permission, please contact
  28  *    licensing@OpenSSL.org.
  29  *
  30  * 5. Products derived from this software may not be called "OpenSSL"
  31  *    nor may "OpenSSL" appear in their names without prior written
  32  *    permission of the OpenSSL Project.
  33  *
  34  * 6. Redistributions of any form whatsoever must retain the following
  35  *    acknowledgment:
  36  *    "This product includes software developed by the OpenSSL Project
  37  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
  38  *
  39  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  40  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  41  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  42  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  43  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  44  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  45  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  46  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  48  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  49  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  50  * OF THE POSSIBILITY OF SUCH DAMAGE.
  51  * ====================================================================
  52  *
  53  * This product includes cryptographic software written by Eric Young
  54  * (eay@cryptsoft.com).  This product includes software written by Tim
  55  * Hudson (tjh@cryptsoft.com).
  56  *
  57  */
  58 /* extension creation utilities */
  59
  60
  61
  62 #include <stdio.h>
  63 #include <ctype.h>
  64 #include "cryptlib.h"
  65 #include <openssl/conf.h>
  66 #include <openssl/x509.h>
  67 #include <openssl/x509v3.h>
  68
  69 static int v3_check_critical(char **value);
  70 static int v3_check_generic(char **value);
  71 static X509_EXTENSION *do_ext_conf(LHASH *conf, X509V3_CTX *ctx, int ext_nid, int crit, char *value);
  72 static X509_EXTENSION *v3_generic_extension(const char *ext, char *value, int crit, int type);
  73 static char *conf_lhash_get_string(void *db, char *section, char *value);
  74 static STACK_OF(CONF_VALUE) *conf_lhash_get_section(void *db, char *section);
  75 static X509_EXTENSION *do_ext_i2d(X509V3_EXT_METHOD *method, int ext_nid,
  76                                                  int crit, void *ext_struc);
  77 /* LHASH *conf:  Config file    */
  78 /* char *name:  Name    */
  79 /* char *value:  Value    */
  80 X509_EXTENSION *X509V3_EXT_conf(LHASH *conf, X509V3_CTX *ctx, char *name,
  81              char *value)
  82 {
  83         int crit;
  84         int ext_type;
  85         X509_EXTENSION *ret;
  86         crit = v3_check_critical(&value);
  87         if((ext_type = v3_check_generic(&value)))
  88                 return v3_generic_extension(name, value, crit, ext_type);
  89         ret = do_ext_conf(conf, ctx, OBJ_sn2nid(name), crit, value);
  90         if(!ret) {
  91                 X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_ERROR_IN_EXTENSION);
  92                 ERR_add_error_data(4,"name=", name, ", value=", value);
  93         }
  94         return ret;
  95 }
  96
  97 /* LHASH *conf:  Config file    */
  98 /* char *value:  Value    */
  99 X509_EXTENSION *X509V3_EXT_conf_nid(LHASH *conf, X509V3_CTX *ctx, int ext_nid,
 100              char *value)
 101 {
 102         int crit;
 103         int ext_type;
 104         crit = v3_check_critical(&value);
 105         if((ext_type = v3_check_generic(&value)))
 106                 return v3_generic_extension(OBJ_nid2sn(ext_nid),
 107                                                          value, crit, ext_type);
 108         return do_ext_conf(conf, ctx, ext_nid, crit, value);
 109 }
 110
 111 /* LHASH *conf:  Config file    */
 112 /* char *value:  Value    */
 113 static X509_EXTENSION *do_ext_conf(LHASH *conf, X509V3_CTX *ctx, int ext_nid,
 114              int crit, char *value)
 115 {
 116         X509V3_EXT_METHOD *method;
 117         X509_EXTENSION *ext;
 118         STACK_OF(CONF_VALUE) *nval;
 119         void *ext_struc;
 120         if(ext_nid == NID_undef) {
 121                 X509V3err(X509V3_F_DO_EXT_CONF,X509V3_R_UNKNOWN_EXTENSION_NAME);
 122                 return NULL;
 123         }
 124         if(!(method = X509V3_EXT_get_nid(ext_nid))) {
 125                 X509V3err(X509V3_F_DO_EXT_CONF,X509V3_R_UNKNOWN_EXTENSION);
 126                 return NULL;
 127         }
 128         /* Now get internal extension representation based on type */
 129         if(method->v2i) {
 130                 if(*value == '@') nval = CONF_get_section(conf, value + 1);
 131                 else nval = X509V3_parse_list(value);
 132                 if(!nval) {
 133                         X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_INVALID_EXTENSION_STRING);
 134                         ERR_add_error_data(4, "name=", OBJ_nid2sn(ext_nid), ",section=", value);
 135                         return NULL;
 136                 }
 137                 ext_struc = method->v2i(method, ctx, nval);
 138                 if(*value != '@') sk_CONF_VALUE_pop_free(nval,
 139                                                          X509V3_conf_free);
 140                 if(!ext_struc) return NULL;
 141         } else if(method->s2i) {
 142                 if(!(ext_struc = method->s2i(method, ctx, value))) return NULL;
 143         } else if(method->r2i) {
 144                 if(!ctx->db) {
 145                         X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_NO_CONFIG_DATABASE);
 146                         return NULL;
 147                 }
 148                 if(!(ext_struc = method->r2i(method, ctx, value))) return NULL;
 149         } else {
 150                 X509V3err(X509V3_F_X509V3_EXT_CONF,X509V3_R_EXTENSION_SETTING_NOT_SUPPORTED);
 151                 ERR_add_error_data(2, "name=", OBJ_nid2sn(ext_nid));
 152                 return NULL;
 153         }
 154
 155         ext  = do_ext_i2d(method, ext_nid, crit, ext_struc);
 156         if(method->it) ASN1_item_free(ext_struc, ASN1_ITEM_ptr(method->it));
 157         else method->ext_free(ext_struc);
 158         return ext;
 159
 160 }
 161
 162 static X509_EXTENSION *do_ext_i2d(X509V3_EXT_METHOD *method, int ext_nid,
 163                                                  int crit, void *ext_struc)
 164 {
 165         unsigned char *ext_der;
 166         int ext_len;
 167         ASN1_OCTET_STRING *ext_oct;
 168         X509_EXTENSION *ext;
 169         /* Convert internal representation to DER */
 170         if(method->it) {
 171                 ext_der = NULL;
 172                 ext_len = ASN1_item_i2d(ext_struc, &ext_der, ASN1_ITEM_ptr(method->it));
 173                 if(ext_len < 0) goto merr;
 174         } else {
 175                 unsigned char *p;
 176                 ext_len = method->i2d(ext_struc, NULL);
 177                 if(!(ext_der = OPENSSL_malloc(ext_len))) goto merr;
 178                 p = ext_der;
 179                 method->i2d(ext_struc, &p);
 180         }
 181         if(!(ext_oct = M_ASN1_OCTET_STRING_new())) goto merr;
 182         ext_oct->data = ext_der;
 183         ext_oct->length = ext_len;
 184
 185         ext = X509_EXTENSION_create_by_NID(NULL, ext_nid, crit, ext_oct);
 186         if(!ext) goto merr;
 187         M_ASN1_OCTET_STRING_free(ext_oct);
 188
 189         return ext;
 190
 191         merr:
 192         X509V3err(X509V3_F_DO_EXT_I2D,ERR_R_MALLOC_FAILURE);
 193         return NULL;
 194
 195 }
 196
 197 /* Given an internal structure, nid and critical flag create an extension */
 198
 199 X509_EXTENSION *X509V3_EXT_i2d(int ext_nid, int crit, void *ext_struc)
 200 {
 201         X509V3_EXT_METHOD *method;
 202         if(!(method = X509V3_EXT_get_nid(ext_nid))) {
 203                 X509V3err(X509V3_F_X509V3_EXT_I2D,X509V3_R_UNKNOWN_EXTENSION);
 204                 return NULL;
 205         }
 206         return do_ext_i2d(method, ext_nid, crit, ext_struc);
 207 }
 208
 209 /* Check the extension string for critical flag */
 210 static int v3_check_critical(char **value)
 211 {
 212         char *p = *value;
 213         if((strlen(p) < 9) || strncmp(p, "critical,", 9)) return 0;
 214         p+=9;
 215         while(isspace((unsigned char)*p)) p++;
 216         *value = p;
 217         return 1;
 218 }
 219
 220 /* Check extension string for generic extension and return the type */
 221 static int v3_check_generic(char **value)
 222 {
 223         char *p = *value;
 224         if((strlen(p) < 4) || strncmp(p, "DER:,", 4)) return 0;
 225         p+=4;
 226         while(isspace((unsigned char)*p)) p++;
 227         *value = p;
 228         return 1;
 229 }
 230
 231 /* Create a generic extension: for now just handle DER type */
 232 static X509_EXTENSION *v3_generic_extension(const char *ext, char *value,
 233              int crit, int type)
 234 {
 235 unsigned char *ext_der=NULL;
 236 long ext_len;
 237 ASN1_OBJECT *obj=NULL;
 238 ASN1_OCTET_STRING *oct=NULL;
 239 X509_EXTENSION *extension=NULL;
 240 if(!(obj = OBJ_txt2obj(ext, 0))) {
 241         X509V3err(X509V3_F_V3_GENERIC_EXTENSION,X509V3_R_EXTENSION_NAME_ERROR);
 242         ERR_add_error_data(2, "name=", ext);
 243         goto err;
 244 }
 245
 246 if(!(ext_der = string_to_hex(value, &ext_len))) {
 247         X509V3err(X509V3_F_V3_GENERIC_EXTENSION,X509V3_R_EXTENSION_VALUE_ERROR);
 248         ERR_add_error_data(2, "value=", value);
 249         goto err;
 250 }
 251
 252 if(!(oct = M_ASN1_OCTET_STRING_new())) {
 253         X509V3err(X509V3_F_V3_GENERIC_EXTENSION,ERR_R_MALLOC_FAILURE);
 254         goto err;
 255 }
 256
 257 oct->data = ext_der;
 258 oct->length = ext_len;
 259 ext_der = NULL;
 260
 261 extension = X509_EXTENSION_create_by_OBJ(NULL, obj, crit, oct);
 262
 263 err:
 264 ASN1_OBJECT_free(obj);
 265 M_ASN1_OCTET_STRING_free(oct);
 266 if(ext_der) OPENSSL_free(ext_der);
 267 return extension;
 268 }
 269
 270
 271 /* This is the main function: add a bunch of extensions based on a config file
 272  * section
 273  */
 274
 275 int X509V3_EXT_add_conf(LHASH *conf, X509V3_CTX *ctx, char *section,
 276              X509 *cert)
 277 {
 278         X509_EXTENSION *ext;
 279         STACK_OF(CONF_VALUE) *nval;
 280         CONF_VALUE *val;
 281         int i;
 282         if(!(nval = CONF_get_section(conf, section))) return 0;
 283         for(i = 0; i < sk_CONF_VALUE_num(nval); i++) {
 284                 val = sk_CONF_VALUE_value(nval, i);
 285                 if(!(ext = X509V3_EXT_conf(conf, ctx, val->name, val->value)))
 286                                                                 return 0;
 287                 if(cert) X509_add_ext(cert, ext, -1);
 288                 X509_EXTENSION_free(ext);
 289         }
 290         return 1;
 291 }
 292
 293 /* Same as above but for a CRL */
 294
 295 int X509V3_EXT_CRL_add_conf(LHASH *conf, X509V3_CTX *ctx, char *section,
 296              X509_CRL *crl)
 297 {
 298         X509_EXTENSION *ext;
 299         STACK_OF(CONF_VALUE) *nval;
 300         CONF_VALUE *val;
 301         int i;
 302         if(!(nval = CONF_get_section(conf, section))) return 0;
 303         for(i = 0; i < sk_CONF_VALUE_num(nval); i++) {
 304                 val = sk_CONF_VALUE_value(nval, i);
 305                 if(!(ext = X509V3_EXT_conf(conf, ctx, val->name, val->value)))
 306                                                                 return 0;
 307                 if(crl) X509_CRL_add_ext(crl, ext, -1);
 308                 X509_EXTENSION_free(ext);
 309         }
 310         return 1;
 311 }
 312
 313 /* Add extensions to certificate request */
 314
 315 int X509V3_EXT_REQ_add_conf(LHASH *conf, X509V3_CTX *ctx, char *section,
 316              X509_REQ *req)
 317 {
 318         X509_EXTENSION *ext;
 319         STACK_OF(X509_EXTENSION) *extlist = NULL;
 320         STACK_OF(CONF_VALUE) *nval;
 321         CONF_VALUE *val;
 322         int i;
 323         if(!(nval = CONF_get_section(conf, section))) return 0;
 324         for(i = 0; i < sk_CONF_VALUE_num(nval); i++) {
 325                 val = sk_CONF_VALUE_value(nval, i);
 326                 if(!(ext = X509V3_EXT_conf(conf, ctx, val->name, val->value)))
 327                                                                 return 0;
 328                 if(!extlist) extlist = sk_X509_EXTENSION_new_null();
 329                 sk_X509_EXTENSION_push(extlist, ext);
 330         }
 331         if(req) i = X509_REQ_add_extensions(req, extlist);
 332         else i = 1;
 333         sk_X509_EXTENSION_pop_free(extlist, X509_EXTENSION_free);
 334         return i;
 335 }
 336
 337 /* Config database functions */
 338
 339 char * X509V3_get_string(X509V3_CTX *ctx, char *name, char *section)
 340 {
 341         if(ctx->db_meth->get_string)
 342                         return ctx->db_meth->get_string(ctx->db, name, section);
 343         return NULL;
 344 }
 345
 346 STACK_OF(CONF_VALUE) * X509V3_get_section(X509V3_CTX *ctx, char *section)
 347 {
 348         if(ctx->db_meth->get_section)
 349                         return ctx->db_meth->get_section(ctx->db, section);
 350         return NULL;
 351 }
 352
 353 void X509V3_string_free(X509V3_CTX *ctx, char *str)
 354 {
 355         if(!str) return;
 356         if(ctx->db_meth->free_string)
 357                         ctx->db_meth->free_string(ctx->db, str);
 358 }
 359
 360 void X509V3_section_free(X509V3_CTX *ctx, STACK_OF(CONF_VALUE) *section)
 361 {
 362         if(!section) return;
 363         if(ctx->db_meth->free_section)
 364                         ctx->db_meth->free_section(ctx->db, section);
 365 }
 366
 367 static char *conf_lhash_get_string(void *db, char *section, char *value)
 368 {
 369         return CONF_get_string(db, section, value);
 370 }
 371
 372 static STACK_OF(CONF_VALUE) *conf_lhash_get_section(void *db, char *section)
 373 {
 374         return CONF_get_section(db, section);
 375 }
 376
 377 static X509V3_CONF_METHOD conf_lhash_method = {
 378 conf_lhash_get_string,
 379 conf_lhash_get_section,
 380 NULL,
 381 NULL
 382 };
 383
 384 void X509V3_set_conf_lhash(X509V3_CTX *ctx, LHASH *lhash)
 385 {
 386         ctx->db_meth = &conf_lhash_method;
 387         ctx->db = lhash;
 388 }
 389
 390 void X509V3_set_ctx(X509V3_CTX *ctx, X509 *issuer, X509 *subj, X509_REQ *req,
 391              X509_CRL *crl, int flags)
 392 {
 393         ctx->issuer_cert = issuer;
 394         ctx->subject_cert = subj;
 395         ctx->crl = crl;
 396         ctx->subject_req = req;
 397         ctx->flags = flags;
 398 }