Initialize variable
[openssl.git] / engines / e_capi.c
1 /* engines/e_capi.c */
2 /*
3  * Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL
4  * project.
5  */
6 /* ====================================================================
7  * Copyright (c) 2008 The OpenSSL Project.  All rights reserved.
8  *
9  * Redistribution and use in source and binary forms, with or without
10  * modification, are permitted provided that the following conditions
11  * are met:
12  *
13  * 1. Redistributions of source code must retain the above copyright
14  *    notice, this list of conditions and the following disclaimer.
15  *
16  * 2. Redistributions in binary form must reproduce the above copyright
17  *    notice, this list of conditions and the following disclaimer in
18  *    the documentation and/or other materials provided with the
19  *    distribution.
20  *
21  * 3. All advertising materials mentioning features or use of this
22  *    software must display the following acknowledgment:
23  *    "This product includes software developed by the OpenSSL Project
24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
25  *
26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
27  *    endorse or promote products derived from this software without
28  *    prior written permission. For written permission, please contact
29  *    licensing@OpenSSL.org.
30  *
31  * 5. Products derived from this software may not be called "OpenSSL"
32  *    nor may "OpenSSL" appear in their names without prior written
33  *    permission of the OpenSSL Project.
34  *
35  * 6. Redistributions of any form whatsoever must retain the following
36  *    acknowledgment:
37  *    "This product includes software developed by the OpenSSL Project
38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
51  * OF THE POSSIBILITY OF SUCH DAMAGE.
52  * ====================================================================
53  */
54
55 #include <stdio.h>
56 #include <string.h>
57 #include <stdlib.h>
58
59 #include <openssl/crypto.h>
60
61 #ifdef OPENSSL_SYS_WIN32
62 # ifndef OPENSSL_NO_CAPIENG
63
64 #  include <openssl/buffer.h>
65 #  include <openssl/bn.h>
66 #  include <openssl/rsa.h>
67 #  include <openssl/dsa.h>
68
69 #  ifndef _WIN32_WINNT
70 #   define _WIN32_WINNT 0x0400
71 #  endif
72
73 #  include <windows.h>
74 #  include <wincrypt.h>
75 #  include <malloc.h>
76 #  ifndef alloca
77 #   define alloca _alloca
78 #  endif
79
80 /*
81  * This module uses several "new" interfaces, among which is
82  * CertGetCertificateContextProperty. CERT_KEY_PROV_INFO_PROP_ID is
83  * one of possible values you can pass to function in question. By
84  * checking if it's defined we can see if wincrypt.h and accompanying
85  * crypt32.lib are in shape. The native MingW32 headers up to and
86  * including __W32API_VERSION 3.14 lack of struct DSSPUBKEY and the
87  * defines CERT_STORE_PROV_SYSTEM_A and CERT_STORE_READONLY_FLAG,
88  * so we check for these too and avoid compiling.
89  * Yes, it's rather "weak" test and if compilation fails,
90  * then re-configure with -DOPENSSL_NO_CAPIENG.
91  */
92 #  if defined(CERT_KEY_PROV_INFO_PROP_ID) && \
93     defined(CERT_STORE_PROV_SYSTEM_A) && \
94     defined(CERT_STORE_READONLY_FLAG)
95 #   define __COMPILE_CAPIENG
96 #  endif                        /* CERT_KEY_PROV_INFO_PROP_ID */
97 # endif                         /* OPENSSL_NO_CAPIENG */
98 #endif                          /* OPENSSL_SYS_WIN32 */
99
100 #ifdef __COMPILE_CAPIENG
101
102 # undef X509_EXTENSIONS
103
104 /* Definitions which may be missing from earlier version of headers */
105 # ifndef CERT_STORE_OPEN_EXISTING_FLAG
106 #  define CERT_STORE_OPEN_EXISTING_FLAG                   0x00004000
107 # endif
108
109 # ifndef CERT_STORE_CREATE_NEW_FLAG
110 #  define CERT_STORE_CREATE_NEW_FLAG                      0x00002000
111 # endif
112
113 # ifndef CERT_SYSTEM_STORE_CURRENT_USER
114 #  define CERT_SYSTEM_STORE_CURRENT_USER                  0x00010000
115 # endif
116
117 # ifndef ALG_SID_SHA_256
118 #  define ALG_SID_SHA_256                 12
119 # endif
120 # ifndef ALG_SID_SHA_384
121 #  define ALG_SID_SHA_384                 13
122 # endif
123 # ifndef ALG_SID_SHA_512
124 #  define ALG_SID_SHA_512                 14
125 # endif
126
127 # ifndef CALG_SHA_256
128 #  define CALG_SHA_256            (ALG_CLASS_HASH | ALG_TYPE_ANY | ALG_SID_SHA_256)
129 # endif
130 # ifndef CALG_SHA_384
131 #  define CALG_SHA_384            (ALG_CLASS_HASH | ALG_TYPE_ANY | ALG_SID_SHA_384)
132 # endif
133 # ifndef CALG_SHA_512
134 #  define CALG_SHA_512            (ALG_CLASS_HASH | ALG_TYPE_ANY | ALG_SID_SHA_512)
135 # endif
136
137 # include <openssl/engine.h>
138 # include <openssl/pem.h>
139 # include <openssl/x509v3.h>
140
141 # include "e_capi_err.h"
142 # include "e_capi_err.c"
143
144 static const char *engine_capi_id = "capi";
145 static const char *engine_capi_name = "CryptoAPI ENGINE";
146
147 typedef struct CAPI_CTX_st CAPI_CTX;
148 typedef struct CAPI_KEY_st CAPI_KEY;
149
150 static void capi_addlasterror(void);
151 static void capi_adderror(DWORD err);
152
153 static void CAPI_trace(CAPI_CTX * ctx, char *format, ...);
154
155 static int capi_list_providers(CAPI_CTX * ctx, BIO *out);
156 static int capi_list_containers(CAPI_CTX * ctx, BIO *out);
157 int capi_list_certs(CAPI_CTX * ctx, BIO *out, char *storename);
158 void capi_free_key(CAPI_KEY * key);
159
160 static PCCERT_CONTEXT capi_find_cert(CAPI_CTX * ctx, const char *id,
161                                      HCERTSTORE hstore);
162
163 CAPI_KEY *capi_find_key(CAPI_CTX * ctx, const char *id);
164
165 static EVP_PKEY *capi_load_privkey(ENGINE *eng, const char *key_id,
166                                    UI_METHOD *ui_method, void *callback_data);
167 static int capi_rsa_sign(int dtype, const unsigned char *m,
168                          unsigned int m_len, unsigned char *sigret,
169                          unsigned int *siglen, const RSA *rsa);
170 static int capi_rsa_priv_enc(int flen, const unsigned char *from,
171                              unsigned char *to, RSA *rsa, int padding);
172 static int capi_rsa_priv_dec(int flen, const unsigned char *from,
173                              unsigned char *to, RSA *rsa, int padding);
174 static int capi_rsa_free(RSA *rsa);
175
176 static DSA_SIG *capi_dsa_do_sign(const unsigned char *digest, int dlen,
177                                  DSA *dsa);
178 static int capi_dsa_free(DSA *dsa);
179
180 static int capi_load_ssl_client_cert(ENGINE *e, SSL *ssl,
181                                      STACK_OF(X509_NAME) *ca_dn, X509 **pcert,
182                                      EVP_PKEY **pkey, STACK_OF(X509) **pother,
183                                      UI_METHOD *ui_method,
184                                      void *callback_data);
185
186 static int cert_select_simple(ENGINE *e, SSL *ssl, STACK_OF(X509) *certs);
187 # ifdef OPENSSL_CAPIENG_DIALOG
188 static int cert_select_dialog(ENGINE *e, SSL *ssl, STACK_OF(X509) *certs);
189 # endif
190
191 typedef PCCERT_CONTEXT(WINAPI *CERTDLG) (HCERTSTORE, HWND, LPCWSTR,
192                                          LPCWSTR, DWORD, DWORD, void *);
193 typedef HWND(WINAPI *GETCONSWIN) (void);
194
195 /*
196  * This structure contains CAPI ENGINE specific data: it contains various
197  * global options and affects how other functions behave.
198  */
199
200 # define CAPI_DBG_TRACE  2
201 # define CAPI_DBG_ERROR  1
202
203 struct CAPI_CTX_st {
204     int debug_level;
205     char *debug_file;
206     /* Parameters to use for container lookup */
207     DWORD keytype;
208     LPSTR cspname;
209     DWORD csptype;
210     /* Certificate store name to use */
211     LPSTR storename;
212     LPSTR ssl_client_store;
213     /* System store flags */
214     DWORD store_flags;
215 /* Lookup string meanings in load_private_key */
216 /* Substring of subject: uses "storename" */
217 # define CAPI_LU_SUBSTR          1
218 /* Friendly name: uses storename */
219 # define CAPI_LU_FNAME           2
220 /* Container name: uses cspname, keytype */
221 # define CAPI_LU_CONTNAME        3
222     int lookup_method;
223 /* Info to dump with dumpcerts option */
224 /* Issuer and serial name strings */
225 # define CAPI_DMP_SUMMARY        0x1
226 /* Friendly name */
227 # define CAPI_DMP_FNAME          0x2
228 /* Full X509_print dump */
229 # define CAPI_DMP_FULL           0x4
230 /* Dump PEM format certificate */
231 # define CAPI_DMP_PEM            0x8
232 /* Dump pseudo key (if possible) */
233 # define CAPI_DMP_PSKEY          0x10
234 /* Dump key info (if possible) */
235 # define CAPI_DMP_PKEYINFO       0x20
236     DWORD dump_flags;
237     int (*client_cert_select) (ENGINE *e, SSL *ssl, STACK_OF(X509) *certs);
238     CERTDLG certselectdlg;
239     GETCONSWIN getconswindow;
240 };
241
242 static CAPI_CTX *capi_ctx_new();
243 static void capi_ctx_free(CAPI_CTX * ctx);
244 static int capi_ctx_set_provname(CAPI_CTX * ctx, LPSTR pname, DWORD type,
245                                  int check);
246 static int capi_ctx_set_provname_idx(CAPI_CTX * ctx, int idx);
247
248 # define CAPI_CMD_LIST_CERTS             ENGINE_CMD_BASE
249 # define CAPI_CMD_LOOKUP_CERT            (ENGINE_CMD_BASE + 1)
250 # define CAPI_CMD_DEBUG_LEVEL            (ENGINE_CMD_BASE + 2)
251 # define CAPI_CMD_DEBUG_FILE             (ENGINE_CMD_BASE + 3)
252 # define CAPI_CMD_KEYTYPE                (ENGINE_CMD_BASE + 4)
253 # define CAPI_CMD_LIST_CSPS              (ENGINE_CMD_BASE + 5)
254 # define CAPI_CMD_SET_CSP_IDX            (ENGINE_CMD_BASE + 6)
255 # define CAPI_CMD_SET_CSP_NAME           (ENGINE_CMD_BASE + 7)
256 # define CAPI_CMD_SET_CSP_TYPE           (ENGINE_CMD_BASE + 8)
257 # define CAPI_CMD_LIST_CONTAINERS        (ENGINE_CMD_BASE + 9)
258 # define CAPI_CMD_LIST_OPTIONS           (ENGINE_CMD_BASE + 10)
259 # define CAPI_CMD_LOOKUP_METHOD          (ENGINE_CMD_BASE + 11)
260 # define CAPI_CMD_STORE_NAME             (ENGINE_CMD_BASE + 12)
261 # define CAPI_CMD_STORE_FLAGS            (ENGINE_CMD_BASE + 13)
262
263 static const ENGINE_CMD_DEFN capi_cmd_defns[] = {
264     {CAPI_CMD_LIST_CERTS,
265      "list_certs",
266      "List all certificates in store",
267      ENGINE_CMD_FLAG_NO_INPUT},
268     {CAPI_CMD_LOOKUP_CERT,
269      "lookup_cert",
270      "Lookup and output certificates",
271      ENGINE_CMD_FLAG_STRING},
272     {CAPI_CMD_DEBUG_LEVEL,
273      "debug_level",
274      "debug level (1=errors, 2=trace)",
275      ENGINE_CMD_FLAG_NUMERIC},
276     {CAPI_CMD_DEBUG_FILE,
277      "debug_file",
278      "debugging filename)",
279      ENGINE_CMD_FLAG_STRING},
280     {CAPI_CMD_KEYTYPE,
281      "key_type",
282      "Key type: 1=AT_KEYEXCHANGE (default), 2=AT_SIGNATURE",
283      ENGINE_CMD_FLAG_NUMERIC},
284     {CAPI_CMD_LIST_CSPS,
285      "list_csps",
286      "List all CSPs",
287      ENGINE_CMD_FLAG_NO_INPUT},
288     {CAPI_CMD_SET_CSP_IDX,
289      "csp_idx",
290      "Set CSP by index",
291      ENGINE_CMD_FLAG_NUMERIC},
292     {CAPI_CMD_SET_CSP_NAME,
293      "csp_name",
294      "Set CSP name, (default CSP used if not specified)",
295      ENGINE_CMD_FLAG_STRING},
296     {CAPI_CMD_SET_CSP_TYPE,
297      "csp_type",
298      "Set CSP type, (default RSA_PROV_FULL)",
299      ENGINE_CMD_FLAG_NUMERIC},
300     {CAPI_CMD_LIST_CONTAINERS,
301      "list_containers",
302      "list container names",
303      ENGINE_CMD_FLAG_NO_INPUT},
304     {CAPI_CMD_LIST_OPTIONS,
305      "list_options",
306      "Set list options (1=summary,2=friendly name, 4=full printout, 8=PEM output, 16=XXX, "
307      "32=private key info)",
308      ENGINE_CMD_FLAG_NUMERIC},
309     {CAPI_CMD_LOOKUP_METHOD,
310      "lookup_method",
311      "Set key lookup method (1=substring, 2=friendlyname, 3=container name)",
312      ENGINE_CMD_FLAG_NUMERIC},
313     {CAPI_CMD_STORE_NAME,
314      "store_name",
315      "certificate store name, default \"MY\"",
316      ENGINE_CMD_FLAG_STRING},
317     {CAPI_CMD_STORE_FLAGS,
318      "store_flags",
319      "Certificate store flags: 1 = system store",
320      ENGINE_CMD_FLAG_NUMERIC},
321
322     {0, NULL, NULL, 0}
323 };
324
325 static int capi_idx = -1;
326 static int rsa_capi_idx = -1;
327 static int dsa_capi_idx = -1;
328 static int cert_capi_idx = -1;
329
330 static int capi_ctrl(ENGINE *e, int cmd, long i, void *p, void (*f) (void))
331 {
332     int ret = 1;
333     CAPI_CTX *ctx;
334     BIO *out;
335     if (capi_idx == -1) {
336         CAPIerr(CAPI_F_CAPI_CTRL, CAPI_R_ENGINE_NOT_INITIALIZED);
337         return 0;
338     }
339     ctx = ENGINE_get_ex_data(e, capi_idx);
340     out = BIO_new_fp(stdout, BIO_NOCLOSE);
341     if (out == NULL) {
342         CAPIerr(CAPI_F_CAPI_CTRL, CAPI_R_FILE_OPEN_ERROR);
343         return 0;
344     }
345     switch (cmd) {
346     case CAPI_CMD_LIST_CSPS:
347         ret = capi_list_providers(ctx, out);
348         break;
349
350     case CAPI_CMD_LIST_CERTS:
351         ret = capi_list_certs(ctx, out, NULL);
352         break;
353
354     case CAPI_CMD_LOOKUP_CERT:
355         ret = capi_list_certs(ctx, out, p);
356         break;
357
358     case CAPI_CMD_LIST_CONTAINERS:
359         ret = capi_list_containers(ctx, out);
360         break;
361
362     case CAPI_CMD_STORE_NAME:
363         if (ctx->storename)
364             OPENSSL_free(ctx->storename);
365         ctx->storename = BUF_strdup(p);
366         CAPI_trace(ctx, "Setting store name to %s\n", p);
367         break;
368
369     case CAPI_CMD_STORE_FLAGS:
370         if (i & 1) {
371             ctx->store_flags |= CERT_SYSTEM_STORE_LOCAL_MACHINE;
372             ctx->store_flags &= ~CERT_SYSTEM_STORE_CURRENT_USER;
373         } else {
374             ctx->store_flags |= CERT_SYSTEM_STORE_CURRENT_USER;
375             ctx->store_flags &= ~CERT_SYSTEM_STORE_LOCAL_MACHINE;
376         }
377         CAPI_trace(ctx, "Setting flags to %d\n", i);
378         break;
379
380     case CAPI_CMD_DEBUG_LEVEL:
381         ctx->debug_level = (int)i;
382         CAPI_trace(ctx, "Setting debug level to %d\n", ctx->debug_level);
383         break;
384
385     case CAPI_CMD_DEBUG_FILE:
386         ctx->debug_file = BUF_strdup(p);
387         CAPI_trace(ctx, "Setting debug file to %s\n", ctx->debug_file);
388         break;
389
390     case CAPI_CMD_KEYTYPE:
391         ctx->keytype = i;
392         CAPI_trace(ctx, "Setting key type to %d\n", ctx->keytype);
393         break;
394
395     case CAPI_CMD_SET_CSP_IDX:
396         ret = capi_ctx_set_provname_idx(ctx, i);
397         break;
398
399     case CAPI_CMD_LIST_OPTIONS:
400         ctx->dump_flags = i;
401         break;
402
403     case CAPI_CMD_LOOKUP_METHOD:
404         if (i < 1 || i > 3) {
405             CAPIerr(CAPI_F_CAPI_CTRL, CAPI_R_INVALID_LOOKUP_METHOD);
406             BIO_free(out);
407             return 0;
408         }
409         ctx->lookup_method = i;
410         break;
411
412     case CAPI_CMD_SET_CSP_NAME:
413         ret = capi_ctx_set_provname(ctx, p, ctx->csptype, 1);
414         break;
415
416     case CAPI_CMD_SET_CSP_TYPE:
417         ctx->csptype = i;
418         break;
419
420     default:
421         CAPIerr(CAPI_F_CAPI_CTRL, CAPI_R_UNKNOWN_COMMAND);
422         ret = 0;
423     }
424
425     BIO_free(out);
426     return ret;
427
428 }
429
430 static RSA_METHOD capi_rsa_method = {
431     "CryptoAPI RSA method",
432     0,                          /* pub_enc */
433     0,                          /* pub_dec */
434     capi_rsa_priv_enc,          /* priv_enc */
435     capi_rsa_priv_dec,          /* priv_dec */
436     0,                          /* rsa_mod_exp */
437     0,                          /* bn_mod_exp */
438     0,                          /* init */
439     capi_rsa_free,              /* finish */
440     RSA_FLAG_SIGN_VER,          /* flags */
441     NULL,                       /* app_data */
442     capi_rsa_sign,              /* rsa_sign */
443     0                           /* rsa_verify */
444 };
445
446 static DSA_METHOD capi_dsa_method = {
447     "CryptoAPI DSA method",
448     capi_dsa_do_sign,           /* dsa_do_sign */
449     0,                          /* dsa_sign_setup */
450     0,                          /* dsa_do_verify */
451     0,                          /* dsa_mod_exp */
452     0,                          /* bn_mod_exp */
453     0,                          /* init */
454     capi_dsa_free,              /* finish */
455     0,                          /* flags */
456     NULL,                       /* app_data */
457     0,                          /* dsa_paramgen */
458     0                           /* dsa_keygen */
459 };
460
461 static int capi_init(ENGINE *e)
462 {
463     CAPI_CTX *ctx;
464     const RSA_METHOD *ossl_rsa_meth;
465     const DSA_METHOD *ossl_dsa_meth;
466
467     if (capi_idx < 0) {
468         capi_idx = ENGINE_get_ex_new_index(0, NULL, NULL, NULL, 0);
469         if (capi_idx < 0)
470             goto memerr;
471
472         cert_capi_idx = X509_get_ex_new_index(0, NULL, NULL, NULL, 0);
473
474         /* Setup RSA_METHOD */
475         rsa_capi_idx = RSA_get_ex_new_index(0, NULL, NULL, NULL, 0);
476         ossl_rsa_meth = RSA_PKCS1_SSLeay();
477         capi_rsa_method.rsa_pub_enc = ossl_rsa_meth->rsa_pub_enc;
478         capi_rsa_method.rsa_pub_dec = ossl_rsa_meth->rsa_pub_dec;
479         capi_rsa_method.rsa_mod_exp = ossl_rsa_meth->rsa_mod_exp;
480         capi_rsa_method.bn_mod_exp = ossl_rsa_meth->bn_mod_exp;
481
482         /* Setup DSA Method */
483         dsa_capi_idx = DSA_get_ex_new_index(0, NULL, NULL, NULL, 0);
484         ossl_dsa_meth = DSA_OpenSSL();
485         capi_dsa_method.dsa_do_verify = ossl_dsa_meth->dsa_do_verify;
486         capi_dsa_method.dsa_mod_exp = ossl_dsa_meth->dsa_mod_exp;
487         capi_dsa_method.bn_mod_exp = ossl_dsa_meth->bn_mod_exp;
488     }
489
490     ctx = capi_ctx_new();
491     if (!ctx)
492         goto memerr;
493
494     ENGINE_set_ex_data(e, capi_idx, ctx);
495
496 # ifdef OPENSSL_CAPIENG_DIALOG
497     {
498         HMODULE cryptui = LoadLibrary(TEXT("CRYPTUI.DLL"));
499         HMODULE kernel = GetModuleHandle(TEXT("KERNEL32.DLL"));
500         if (cryptui)
501             ctx->certselectdlg =
502                 (CERTDLG) GetProcAddress(cryptui,
503                                          "CryptUIDlgSelectCertificateFromStore");
504         if (kernel)
505             ctx->getconswindow =
506                 (GETCONSWIN) GetProcAddress(kernel, "GetConsoleWindow");
507         if (cryptui && !OPENSSL_isservice())
508             ctx->client_cert_select = cert_select_dialog;
509     }
510 # endif
511
512     return 1;
513
514  memerr:
515     CAPIerr(CAPI_F_CAPI_INIT, ERR_R_MALLOC_FAILURE);
516     return 0;
517
518     return 1;
519 }
520
521 static int capi_destroy(ENGINE *e)
522 {
523     ERR_unload_CAPI_strings();
524     return 1;
525 }
526
527 static int capi_finish(ENGINE *e)
528 {
529     CAPI_CTX *ctx;
530     ctx = ENGINE_get_ex_data(e, capi_idx);
531     capi_ctx_free(ctx);
532     ENGINE_set_ex_data(e, capi_idx, NULL);
533     return 1;
534 }
535
536 /*
537  * CryptoAPI key application data. This contains a handle to the private key
538  * container (for sign operations) and a handle to the key (for decrypt
539  * operations).
540  */
541
542 struct CAPI_KEY_st {
543     /* Associated certificate context (if any) */
544     PCCERT_CONTEXT pcert;
545     HCRYPTPROV hprov;
546     HCRYPTKEY key;
547     DWORD keyspec;
548 };
549
550 static int bind_capi(ENGINE *e)
551 {
552     if (!ENGINE_set_id(e, engine_capi_id)
553         || !ENGINE_set_name(e, engine_capi_name)
554         || !ENGINE_set_flags(e, ENGINE_FLAGS_NO_REGISTER_ALL)
555         || !ENGINE_set_init_function(e, capi_init)
556         || !ENGINE_set_finish_function(e, capi_finish)
557         || !ENGINE_set_destroy_function(e, capi_destroy)
558         || !ENGINE_set_RSA(e, &capi_rsa_method)
559         || !ENGINE_set_DSA(e, &capi_dsa_method)
560         || !ENGINE_set_load_privkey_function(e, capi_load_privkey)
561         || !ENGINE_set_load_ssl_client_cert_function(e,
562                                                      capi_load_ssl_client_cert)
563         || !ENGINE_set_cmd_defns(e, capi_cmd_defns)
564         || !ENGINE_set_ctrl_function(e, capi_ctrl))
565         return 0;
566     ERR_load_CAPI_strings();
567
568     return 1;
569
570 }
571
572 # ifndef OPENSSL_NO_DYNAMIC_ENGINE
573 static int bind_helper(ENGINE *e, const char *id)
574 {
575     if (id && (strcmp(id, engine_capi_id) != 0))
576         return 0;
577     if (!bind_capi(e))
578         return 0;
579     return 1;
580 }
581
582 IMPLEMENT_DYNAMIC_CHECK_FN()
583     IMPLEMENT_DYNAMIC_BIND_FN(bind_helper)
584 # else
585 static ENGINE *engine_capi(void)
586 {
587     ENGINE *ret = ENGINE_new();
588     if (!ret)
589         return NULL;
590     if (!bind_capi(ret)) {
591         ENGINE_free(ret);
592         return NULL;
593     }
594     return ret;
595 }
596
597 void ENGINE_load_capi(void)
598 {
599     /* Copied from eng_[openssl|dyn].c */
600     ENGINE *toadd = engine_capi();
601     if (!toadd)
602         return;
603     ENGINE_add(toadd);
604     ENGINE_free(toadd);
605     ERR_clear_error();
606 }
607 # endif
608
609 static int lend_tobn(BIGNUM *bn, unsigned char *bin, int binlen)
610 {
611     int i;
612     /*
613      * Reverse buffer in place: since this is a keyblob structure that will
614      * be freed up after conversion anyway it doesn't matter if we change
615      * it.
616      */
617     for (i = 0; i < binlen / 2; i++) {
618         unsigned char c;
619         c = bin[i];
620         bin[i] = bin[binlen - i - 1];
621         bin[binlen - i - 1] = c;
622     }
623
624     if (!BN_bin2bn(bin, binlen, bn))
625         return 0;
626     return 1;
627 }
628
629 /* Given a CAPI_KEY get an EVP_PKEY structure */
630
631 static EVP_PKEY *capi_get_pkey(ENGINE *eng, CAPI_KEY * key)
632 {
633     unsigned char *pubkey = NULL;
634     DWORD len;
635     BLOBHEADER *bh;
636     RSA *rkey = NULL;
637     DSA *dkey = NULL;
638     EVP_PKEY *ret = NULL;
639     if (!CryptExportKey(key->key, 0, PUBLICKEYBLOB, 0, NULL, &len)) {
640         CAPIerr(CAPI_F_CAPI_GET_PKEY, CAPI_R_PUBKEY_EXPORT_LENGTH_ERROR);
641         capi_addlasterror();
642         return NULL;
643     }
644
645     pubkey = OPENSSL_malloc(len);
646
647     if (!pubkey)
648         goto memerr;
649
650     if (!CryptExportKey(key->key, 0, PUBLICKEYBLOB, 0, pubkey, &len)) {
651         CAPIerr(CAPI_F_CAPI_GET_PKEY, CAPI_R_PUBKEY_EXPORT_ERROR);
652         capi_addlasterror();
653         goto err;
654     }
655
656     bh = (BLOBHEADER *) pubkey;
657     if (bh->bType != PUBLICKEYBLOB) {
658         CAPIerr(CAPI_F_CAPI_GET_PKEY, CAPI_R_INVALID_PUBLIC_KEY_BLOB);
659         goto err;
660     }
661     if (bh->aiKeyAlg == CALG_RSA_SIGN || bh->aiKeyAlg == CALG_RSA_KEYX) {
662         RSAPUBKEY *rp;
663         DWORD rsa_modlen;
664         unsigned char *rsa_modulus;
665         rp = (RSAPUBKEY *) (bh + 1);
666         if (rp->magic != 0x31415352) {
667             char magstr[10];
668             BIO_snprintf(magstr, 10, "%lx", rp->magic);
669             CAPIerr(CAPI_F_CAPI_GET_PKEY,
670                     CAPI_R_INVALID_RSA_PUBLIC_KEY_BLOB_MAGIC_NUMBER);
671             ERR_add_error_data(2, "magic=0x", magstr);
672             goto err;
673         }
674         rsa_modulus = (unsigned char *)(rp + 1);
675         rkey = RSA_new_method(eng);
676         if (!rkey)
677             goto memerr;
678
679         rkey->e = BN_new();
680         rkey->n = BN_new();
681
682         if (!rkey->e || !rkey->n)
683             goto memerr;
684
685         if (!BN_set_word(rkey->e, rp->pubexp))
686             goto memerr;
687
688         rsa_modlen = rp->bitlen / 8;
689         if (!lend_tobn(rkey->n, rsa_modulus, rsa_modlen))
690             goto memerr;
691
692         RSA_set_ex_data(rkey, rsa_capi_idx, key);
693
694         if (!(ret = EVP_PKEY_new()))
695             goto memerr;
696
697         EVP_PKEY_assign_RSA(ret, rkey);
698         rkey = NULL;
699
700     } else if (bh->aiKeyAlg == CALG_DSS_SIGN) {
701         DSSPUBKEY *dp;
702         DWORD dsa_plen;
703         unsigned char *btmp;
704         dp = (DSSPUBKEY *) (bh + 1);
705         if (dp->magic != 0x31535344) {
706             char magstr[10];
707             BIO_snprintf(magstr, 10, "%lx", dp->magic);
708             CAPIerr(CAPI_F_CAPI_GET_PKEY,
709                     CAPI_R_INVALID_DSA_PUBLIC_KEY_BLOB_MAGIC_NUMBER);
710             ERR_add_error_data(2, "magic=0x", magstr);
711             goto err;
712         }
713         dsa_plen = dp->bitlen / 8;
714         btmp = (unsigned char *)(dp + 1);
715         dkey = DSA_new_method(eng);
716         if (!dkey)
717             goto memerr;
718         dkey->p = BN_new();
719         dkey->q = BN_new();
720         dkey->g = BN_new();
721         dkey->pub_key = BN_new();
722         if (!dkey->p || !dkey->q || !dkey->g || !dkey->pub_key)
723             goto memerr;
724         if (!lend_tobn(dkey->p, btmp, dsa_plen))
725             goto memerr;
726         btmp += dsa_plen;
727         if (!lend_tobn(dkey->q, btmp, 20))
728             goto memerr;
729         btmp += 20;
730         if (!lend_tobn(dkey->g, btmp, dsa_plen))
731             goto memerr;
732         btmp += dsa_plen;
733         if (!lend_tobn(dkey->pub_key, btmp, dsa_plen))
734             goto memerr;
735         btmp += dsa_plen;
736
737         DSA_set_ex_data(dkey, dsa_capi_idx, key);
738
739         if (!(ret = EVP_PKEY_new()))
740             goto memerr;
741
742         EVP_PKEY_assign_DSA(ret, dkey);
743         dkey = NULL;
744     } else {
745         char algstr[10];
746         BIO_snprintf(algstr, 10, "%lx", bh->aiKeyAlg);
747         CAPIerr(CAPI_F_CAPI_GET_PKEY,
748                 CAPI_R_UNSUPPORTED_PUBLIC_KEY_ALGORITHM);
749         ERR_add_error_data(2, "aiKeyAlg=0x", algstr);
750         goto err;
751     }
752
753  err:
754     if (pubkey)
755         OPENSSL_free(pubkey);
756     if (!ret) {
757         RSA_free(rkey);
758         DSA_free(dkey);
759     }
760
761     return ret;
762
763  memerr:
764     CAPIerr(CAPI_F_CAPI_GET_PKEY, ERR_R_MALLOC_FAILURE);
765     goto err;
766
767 }
768
769 static EVP_PKEY *capi_load_privkey(ENGINE *eng, const char *key_id,
770                                    UI_METHOD *ui_method, void *callback_data)
771 {
772     CAPI_CTX *ctx;
773     CAPI_KEY *key;
774     EVP_PKEY *ret;
775     ctx = ENGINE_get_ex_data(eng, capi_idx);
776
777     if (!ctx) {
778         CAPIerr(CAPI_F_CAPI_LOAD_PRIVKEY, CAPI_R_CANT_FIND_CAPI_CONTEXT);
779         return NULL;
780     }
781
782     key = capi_find_key(ctx, key_id);
783
784     if (!key)
785         return NULL;
786
787     ret = capi_get_pkey(eng, key);
788
789     if (!ret)
790         capi_free_key(key);
791     return ret;
792
793 }
794
795 /* CryptoAPI RSA operations */
796
797 int capi_rsa_priv_enc(int flen, const unsigned char *from,
798                       unsigned char *to, RSA *rsa, int padding)
799 {
800     CAPIerr(CAPI_F_CAPI_RSA_PRIV_ENC, CAPI_R_FUNCTION_NOT_SUPPORTED);
801     return -1;
802 }
803
804 int capi_rsa_sign(int dtype, const unsigned char *m, unsigned int m_len,
805                   unsigned char *sigret, unsigned int *siglen, const RSA *rsa)
806 {
807     ALG_ID alg;
808     HCRYPTHASH hash;
809     DWORD slen;
810     unsigned int i;
811     int ret = -1;
812     CAPI_KEY *capi_key;
813     CAPI_CTX *ctx;
814
815     ctx = ENGINE_get_ex_data(rsa->engine, capi_idx);
816
817     CAPI_trace(ctx, "Called CAPI_rsa_sign()\n");
818
819     capi_key = RSA_get_ex_data(rsa, rsa_capi_idx);
820     if (!capi_key) {
821         CAPIerr(CAPI_F_CAPI_RSA_SIGN, CAPI_R_CANT_GET_KEY);
822         return -1;
823     }
824 /* Convert the signature type to a CryptoAPI algorithm ID */
825     switch (dtype) {
826     case NID_sha256:
827         alg = CALG_SHA_256;
828         break;
829
830     case NID_sha384:
831         alg = CALG_SHA_384;
832         break;
833
834     case NID_sha512:
835         alg = CALG_SHA_512;
836         break;
837
838     case NID_sha1:
839         alg = CALG_SHA1;
840         break;
841
842     case NID_md5:
843         alg = CALG_MD5;
844         break;
845
846     case NID_md5_sha1:
847         alg = CALG_SSL3_SHAMD5;
848         break;
849     default:
850         {
851             char algstr[10];
852             BIO_snprintf(algstr, 10, "%lx", dtype);
853             CAPIerr(CAPI_F_CAPI_RSA_SIGN, CAPI_R_UNSUPPORTED_ALGORITHM_NID);
854             ERR_add_error_data(2, "NID=0x", algstr);
855             return -1;
856         }
857     }
858
859 /* Create the hash object */
860     if (!CryptCreateHash(capi_key->hprov, alg, 0, 0, &hash)) {
861         CAPIerr(CAPI_F_CAPI_RSA_SIGN, CAPI_R_CANT_CREATE_HASH_OBJECT);
862         capi_addlasterror();
863         return -1;
864     }
865 /* Set the hash value to the value passed */
866
867     if (!CryptSetHashParam(hash, HP_HASHVAL, (unsigned char *)m, 0)) {
868         CAPIerr(CAPI_F_CAPI_RSA_SIGN, CAPI_R_CANT_SET_HASH_VALUE);
869         capi_addlasterror();
870         goto err;
871     }
872
873 /* Finally sign it */
874     slen = RSA_size(rsa);
875     if (!CryptSignHash(hash, capi_key->keyspec, NULL, 0, sigret, &slen)) {
876         CAPIerr(CAPI_F_CAPI_RSA_SIGN, CAPI_R_ERROR_SIGNING_HASH);
877         capi_addlasterror();
878         goto err;
879     } else {
880         ret = 1;
881         /* Inplace byte reversal of signature */
882         for (i = 0; i < slen / 2; i++) {
883             unsigned char c;
884             c = sigret[i];
885             sigret[i] = sigret[slen - i - 1];
886             sigret[slen - i - 1] = c;
887         }
888         *siglen = slen;
889     }
890
891     /* Now cleanup */
892
893  err:
894     CryptDestroyHash(hash);
895
896     return ret;
897 }
898
899 int capi_rsa_priv_dec(int flen, const unsigned char *from,
900                       unsigned char *to, RSA *rsa, int padding)
901 {
902     int i;
903     unsigned char *tmpbuf;
904     CAPI_KEY *capi_key;
905     CAPI_CTX *ctx;
906     ctx = ENGINE_get_ex_data(rsa->engine, capi_idx);
907
908     CAPI_trace(ctx, "Called capi_rsa_priv_dec()\n");
909
910     capi_key = RSA_get_ex_data(rsa, rsa_capi_idx);
911     if (!capi_key) {
912         CAPIerr(CAPI_F_CAPI_RSA_PRIV_DEC, CAPI_R_CANT_GET_KEY);
913         return -1;
914     }
915
916     if (padding != RSA_PKCS1_PADDING) {
917         char errstr[10];
918         BIO_snprintf(errstr, 10, "%d", padding);
919         CAPIerr(CAPI_F_CAPI_RSA_PRIV_DEC, CAPI_R_UNSUPPORTED_PADDING);
920         ERR_add_error_data(2, "padding=", errstr);
921         return -1;
922     }
923
924     /* Create temp reverse order version of input */
925     if (!(tmpbuf = OPENSSL_malloc(flen))) {
926         CAPIerr(CAPI_F_CAPI_RSA_PRIV_DEC, ERR_R_MALLOC_FAILURE);
927         return -1;
928     }
929     for (i = 0; i < flen; i++)
930         tmpbuf[flen - i - 1] = from[i];
931
932     /* Finally decrypt it */
933     if (!CryptDecrypt(capi_key->key, 0, TRUE, 0, tmpbuf, &flen)) {
934         CAPIerr(CAPI_F_CAPI_RSA_PRIV_DEC, CAPI_R_DECRYPT_ERROR);
935         capi_addlasterror();
936         OPENSSL_free(tmpbuf);
937         return -1;
938     } else
939         memcpy(to, tmpbuf, flen);
940
941     OPENSSL_free(tmpbuf);
942
943     return flen;
944 }
945
946 static int capi_rsa_free(RSA *rsa)
947 {
948     CAPI_KEY *capi_key;
949     capi_key = RSA_get_ex_data(rsa, rsa_capi_idx);
950     capi_free_key(capi_key);
951     RSA_set_ex_data(rsa, rsa_capi_idx, 0);
952     return 1;
953 }
954
955 /* CryptoAPI DSA operations */
956
957 static DSA_SIG *capi_dsa_do_sign(const unsigned char *digest, int dlen,
958                                  DSA *dsa)
959 {
960     HCRYPTHASH hash;
961     DWORD slen;
962     DSA_SIG *ret = NULL;
963     CAPI_KEY *capi_key;
964     CAPI_CTX *ctx;
965     unsigned char csigbuf[40];
966
967     ctx = ENGINE_get_ex_data(dsa->engine, capi_idx);
968
969     CAPI_trace(ctx, "Called CAPI_dsa_do_sign()\n");
970
971     capi_key = DSA_get_ex_data(dsa, dsa_capi_idx);
972
973     if (!capi_key) {
974         CAPIerr(CAPI_F_CAPI_DSA_DO_SIGN, CAPI_R_CANT_GET_KEY);
975         return NULL;
976     }
977
978     if (dlen != 20) {
979         CAPIerr(CAPI_F_CAPI_DSA_DO_SIGN, CAPI_R_INVALID_DIGEST_LENGTH);
980         return NULL;
981     }
982
983     /* Create the hash object */
984     if (!CryptCreateHash(capi_key->hprov, CALG_SHA1, 0, 0, &hash)) {
985         CAPIerr(CAPI_F_CAPI_DSA_DO_SIGN, CAPI_R_CANT_CREATE_HASH_OBJECT);
986         capi_addlasterror();
987         return NULL;
988     }
989
990     /* Set the hash value to the value passed */
991     if (!CryptSetHashParam(hash, HP_HASHVAL, (unsigned char *)digest, 0)) {
992         CAPIerr(CAPI_F_CAPI_DSA_DO_SIGN, CAPI_R_CANT_SET_HASH_VALUE);
993         capi_addlasterror();
994         goto err;
995     }
996
997     /* Finally sign it */
998     slen = sizeof(csigbuf);
999     if (!CryptSignHash(hash, capi_key->keyspec, NULL, 0, csigbuf, &slen)) {
1000         CAPIerr(CAPI_F_CAPI_DSA_DO_SIGN, CAPI_R_ERROR_SIGNING_HASH);
1001         capi_addlasterror();
1002         goto err;
1003     } else {
1004         ret = DSA_SIG_new();
1005         if (!ret)
1006             goto err;
1007         ret->r = BN_new();
1008         ret->s = BN_new();
1009         if (!ret->r || !ret->s)
1010             goto err;
1011         if (!lend_tobn(ret->r, csigbuf, 20)
1012             || !lend_tobn(ret->s, csigbuf + 20, 20)) {
1013             DSA_SIG_free(ret);
1014             ret = NULL;
1015             goto err;
1016         }
1017     }
1018
1019     /* Now cleanup */
1020
1021  err:
1022     OPENSSL_cleanse(csigbuf, 40);
1023     CryptDestroyHash(hash);
1024     return ret;
1025 }
1026
1027 static int capi_dsa_free(DSA *dsa)
1028 {
1029     CAPI_KEY *capi_key;
1030     capi_key = DSA_get_ex_data(dsa, dsa_capi_idx);
1031     capi_free_key(capi_key);
1032     DSA_set_ex_data(dsa, dsa_capi_idx, 0);
1033     return 1;
1034 }
1035
1036 static void capi_vtrace(CAPI_CTX * ctx, int level, char *format,
1037                         va_list argptr)
1038 {
1039     BIO *out;
1040
1041     if (!ctx || (ctx->debug_level < level) || (!ctx->debug_file))
1042         return;
1043     out = BIO_new_file(ctx->debug_file, "a+");
1044     if (out == NULL) {
1045         CAPIerr(CAPI_F_CAPI_VTRACE, CAPI_R_FILE_OPEN_ERROR);
1046         return;
1047     }
1048     BIO_vprintf(out, format, argptr);
1049     BIO_free(out);
1050 }
1051
1052 static void CAPI_trace(CAPI_CTX * ctx, char *format, ...)
1053 {
1054     va_list args;
1055     va_start(args, format);
1056     capi_vtrace(ctx, CAPI_DBG_TRACE, format, args);
1057     va_end(args);
1058 }
1059
1060 static void capi_addlasterror(void)
1061 {
1062     capi_adderror(GetLastError());
1063 }
1064
1065 static void capi_adderror(DWORD err)
1066 {
1067     char errstr[10];
1068     BIO_snprintf(errstr, 10, "%lX", err);
1069     ERR_add_error_data(2, "Error code= 0x", errstr);
1070 }
1071
1072 static char *wide_to_asc(LPCWSTR wstr)
1073 {
1074     char *str;
1075     int len_0, sz;
1076
1077     if (!wstr)
1078         return NULL;
1079     len_0 = (int)wcslen(wstr) + 1; /* WideCharToMultiByte expects int */
1080     sz = WideCharToMultiByte(CP_ACP, 0, wstr, len_0, NULL, 0, NULL, NULL);
1081     if (!sz) {
1082         CAPIerr(CAPI_F_WIDE_TO_ASC, CAPI_R_WIN32_ERROR);
1083         return NULL;
1084     }
1085     str = OPENSSL_malloc(sz);
1086     if (!str) {
1087         CAPIerr(CAPI_F_WIDE_TO_ASC, ERR_R_MALLOC_FAILURE);
1088         return NULL;
1089     }
1090     if (!WideCharToMultiByte(CP_ACP, 0, wstr, len_0, str, sz, NULL, NULL)) {
1091         OPENSSL_free(str);
1092         CAPIerr(CAPI_F_WIDE_TO_ASC, CAPI_R_WIN32_ERROR);
1093         return NULL;
1094     }
1095     return str;
1096 }
1097
1098 static int capi_get_provname(CAPI_CTX * ctx, LPSTR * pname, DWORD * ptype,
1099                              DWORD idx)
1100 {
1101     DWORD len, err;
1102     LPTSTR name;
1103     CAPI_trace(ctx, "capi_get_provname, index=%d\n", idx);
1104     if (!CryptEnumProviders(idx, NULL, 0, ptype, NULL, &len)) {
1105         err = GetLastError();
1106         if (err == ERROR_NO_MORE_ITEMS)
1107             return 2;
1108         CAPIerr(CAPI_F_CAPI_GET_PROVNAME, CAPI_R_CRYPTENUMPROVIDERS_ERROR);
1109         capi_adderror(err);
1110         return 0;
1111     }
1112     name = OPENSSL_malloc(len);
1113     if (name == NULL) {
1114         CAPIerr(CAPI_F_CAPI_GET_PROVNAME, ERR_R_MALLOC_FAILURE);
1115         return 0;
1116     }
1117     if (!CryptEnumProviders(idx, NULL, 0, ptype, name, &len)) {
1118         err = GetLastError();
1119         OPENSSL_free(name);
1120         if (err == ERROR_NO_MORE_ITEMS)
1121             return 2;
1122         CAPIerr(CAPI_F_CAPI_GET_PROVNAME, CAPI_R_CRYPTENUMPROVIDERS_ERROR);
1123         capi_adderror(err);
1124         return 0;
1125     }
1126     if (sizeof(TCHAR) != sizeof(char)) {
1127         *pname = wide_to_asc((WCHAR *)name);
1128         OPENSSL_free(name);
1129         if (*pname == NULL)
1130             return 0;
1131     } else
1132         *pname = (char *)name;
1133     CAPI_trace(ctx, "capi_get_provname, returned name=%s, type=%d\n", *pname,
1134                *ptype);
1135
1136     return 1;
1137 }
1138
1139 static int capi_list_providers(CAPI_CTX * ctx, BIO *out)
1140 {
1141     DWORD idx, ptype;
1142     int ret;
1143     LPSTR provname = NULL;
1144     CAPI_trace(ctx, "capi_list_providers\n");
1145     BIO_printf(out, "Available CSPs:\n");
1146     for (idx = 0;; idx++) {
1147         ret = capi_get_provname(ctx, &provname, &ptype, idx);
1148         if (ret == 2)
1149             break;
1150         if (ret == 0)
1151             break;
1152         BIO_printf(out, "%d. %s, type %d\n", idx, provname, ptype);
1153         OPENSSL_free(provname);
1154     }
1155     return 1;
1156 }
1157
1158 static int capi_list_containers(CAPI_CTX * ctx, BIO *out)
1159 {
1160     int ret = 1;
1161     HCRYPTPROV hprov;
1162     DWORD err, idx, flags, buflen = 0, clen;
1163     LPSTR cname;
1164     LPTSTR cspname = NULL;
1165
1166     CAPI_trace(ctx, "Listing containers CSP=%s, type = %d\n", ctx->cspname,
1167                ctx->csptype);
1168     if (ctx->cspname && sizeof(TCHAR) != sizeof(char)) {
1169         if ((clen =
1170              MultiByteToWideChar(CP_ACP, 0, ctx->cspname, -1, NULL, 0))) {
1171             cspname = alloca(clen * sizeof(WCHAR));
1172             MultiByteToWideChar(CP_ACP, 0, ctx->cspname, -1, (WCHAR *)cspname,
1173                                 clen);
1174         }
1175         if (!cspname) {
1176             CAPIerr(CAPI_F_CAPI_LIST_CONTAINERS, ERR_R_MALLOC_FAILURE);
1177             capi_addlasterror();
1178             return 0;
1179         }
1180     } else
1181         cspname = (TCHAR *)ctx->cspname;
1182     if (!CryptAcquireContext
1183         (&hprov, NULL, cspname, ctx->csptype, CRYPT_VERIFYCONTEXT)) {
1184         CAPIerr(CAPI_F_CAPI_LIST_CONTAINERS,
1185                 CAPI_R_CRYPTACQUIRECONTEXT_ERROR);
1186         capi_addlasterror();
1187         return 0;
1188     }
1189     if (!CryptGetProvParam
1190         (hprov, PP_ENUMCONTAINERS, NULL, &buflen, CRYPT_FIRST)) {
1191         CAPIerr(CAPI_F_CAPI_LIST_CONTAINERS, CAPI_R_ENUMCONTAINERS_ERROR);
1192         capi_addlasterror();
1193         CryptReleaseContext(hprov, 0);
1194         return 0;
1195     }
1196     CAPI_trace(ctx, "Got max container len %d\n", buflen);
1197     if (buflen == 0)
1198         buflen = 1024;
1199     cname = OPENSSL_malloc(buflen);
1200     if (!cname) {
1201         CAPIerr(CAPI_F_CAPI_LIST_CONTAINERS, ERR_R_MALLOC_FAILURE);
1202         goto err;
1203     }
1204
1205     for (idx = 0;; idx++) {
1206         clen = buflen;
1207         cname[0] = 0;
1208
1209         if (idx == 0)
1210             flags = CRYPT_FIRST;
1211         else
1212             flags = 0;
1213         if (!CryptGetProvParam
1214             (hprov, PP_ENUMCONTAINERS, (BYTE *) cname, &clen, flags)) {
1215             err = GetLastError();
1216             if (err == ERROR_NO_MORE_ITEMS)
1217                 goto done;
1218             CAPIerr(CAPI_F_CAPI_LIST_CONTAINERS, CAPI_R_ENUMCONTAINERS_ERROR);
1219             capi_adderror(err);
1220             goto err;
1221         }
1222         CAPI_trace(ctx, "Container name %s, len=%d, index=%d, flags=%d\n",
1223                    cname, clen, idx, flags);
1224         if (!cname[0] && (clen == buflen)) {
1225             CAPI_trace(ctx, "Enumerate bug: using workaround\n");
1226             goto done;
1227         }
1228         BIO_printf(out, "%d. %s\n", idx, cname);
1229     }
1230  err:
1231
1232     ret = 0;
1233
1234  done:
1235     if (cname)
1236         OPENSSL_free(cname);
1237     CryptReleaseContext(hprov, 0);
1238
1239     return ret;
1240 }
1241
1242 CRYPT_KEY_PROV_INFO *capi_get_prov_info(CAPI_CTX * ctx, PCCERT_CONTEXT cert)
1243 {
1244     DWORD len;
1245     CRYPT_KEY_PROV_INFO *pinfo;
1246
1247     if (!CertGetCertificateContextProperty
1248         (cert, CERT_KEY_PROV_INFO_PROP_ID, NULL, &len))
1249         return NULL;
1250     pinfo = OPENSSL_malloc(len);
1251     if (!pinfo) {
1252         CAPIerr(CAPI_F_CAPI_GET_PROV_INFO, ERR_R_MALLOC_FAILURE);
1253         return NULL;
1254     }
1255     if (!CertGetCertificateContextProperty
1256         (cert, CERT_KEY_PROV_INFO_PROP_ID, pinfo, &len)) {
1257         CAPIerr(CAPI_F_CAPI_GET_PROV_INFO,
1258                 CAPI_R_ERROR_GETTING_KEY_PROVIDER_INFO);
1259         capi_addlasterror();
1260         OPENSSL_free(pinfo);
1261         return NULL;
1262     }
1263     return pinfo;
1264 }
1265
1266 static void capi_dump_prov_info(CAPI_CTX * ctx, BIO *out,
1267                                 CRYPT_KEY_PROV_INFO * pinfo)
1268 {
1269     char *provname = NULL, *contname = NULL;
1270     if (!pinfo) {
1271         BIO_printf(out, "  No Private Key\n");
1272         return;
1273     }
1274     provname = wide_to_asc(pinfo->pwszProvName);
1275     contname = wide_to_asc(pinfo->pwszContainerName);
1276     if (!provname || !contname)
1277         goto err;
1278
1279     BIO_printf(out, "  Private Key Info:\n");
1280     BIO_printf(out, "    Provider Name:  %s, Provider Type %d\n", provname,
1281                pinfo->dwProvType);
1282     BIO_printf(out, "    Container Name: %s, Key Type %d\n", contname,
1283                pinfo->dwKeySpec);
1284  err:
1285     if (provname)
1286         OPENSSL_free(provname);
1287     if (contname)
1288         OPENSSL_free(contname);
1289 }
1290
1291 char *capi_cert_get_fname(CAPI_CTX * ctx, PCCERT_CONTEXT cert)
1292 {
1293     LPWSTR wfname;
1294     DWORD dlen;
1295
1296     CAPI_trace(ctx, "capi_cert_get_fname\n");
1297     if (!CertGetCertificateContextProperty
1298         (cert, CERT_FRIENDLY_NAME_PROP_ID, NULL, &dlen))
1299         return NULL;
1300     wfname = OPENSSL_malloc(dlen);
1301     if (wfname == NULL)
1302         return NULL;
1303     if (CertGetCertificateContextProperty
1304         (cert, CERT_FRIENDLY_NAME_PROP_ID, wfname, &dlen)) {
1305         char *fname = wide_to_asc(wfname);
1306         OPENSSL_free(wfname);
1307         return fname;
1308     }
1309     CAPIerr(CAPI_F_CAPI_CERT_GET_FNAME, CAPI_R_ERROR_GETTING_FRIENDLY_NAME);
1310     capi_addlasterror();
1311
1312     OPENSSL_free(wfname);
1313     return NULL;
1314 }
1315
1316 void capi_dump_cert(CAPI_CTX * ctx, BIO *out, PCCERT_CONTEXT cert)
1317 {
1318     X509 *x;
1319     unsigned char *p;
1320     unsigned long flags = ctx->dump_flags;
1321     if (flags & CAPI_DMP_FNAME) {
1322         char *fname;
1323         fname = capi_cert_get_fname(ctx, cert);
1324         if (fname) {
1325             BIO_printf(out, "  Friendly Name \"%s\"\n", fname);
1326             OPENSSL_free(fname);
1327         } else
1328             BIO_printf(out, "  <No Friendly Name>\n");
1329     }
1330
1331     p = cert->pbCertEncoded;
1332     x = d2i_X509(NULL, &p, cert->cbCertEncoded);
1333     if (!x)
1334         BIO_printf(out, "  <Can't parse certificate>\n");
1335     if (flags & CAPI_DMP_SUMMARY) {
1336         BIO_printf(out, "  Subject: ");
1337         X509_NAME_print_ex(out, X509_get_subject_name(x), 0, XN_FLAG_ONELINE);
1338         BIO_printf(out, "\n  Issuer: ");
1339         X509_NAME_print_ex(out, X509_get_issuer_name(x), 0, XN_FLAG_ONELINE);
1340         BIO_printf(out, "\n");
1341     }
1342     if (flags & CAPI_DMP_FULL)
1343         X509_print_ex(out, x, XN_FLAG_ONELINE, 0);
1344
1345     if (flags & CAPI_DMP_PKEYINFO) {
1346         CRYPT_KEY_PROV_INFO *pinfo;
1347         pinfo = capi_get_prov_info(ctx, cert);
1348         capi_dump_prov_info(ctx, out, pinfo);
1349         if (pinfo)
1350             OPENSSL_free(pinfo);
1351     }
1352
1353     if (flags & CAPI_DMP_PEM)
1354         PEM_write_bio_X509(out, x);
1355     X509_free(x);
1356 }
1357
1358 HCERTSTORE capi_open_store(CAPI_CTX * ctx, char *storename)
1359 {
1360     HCERTSTORE hstore;
1361
1362     if (!storename)
1363         storename = ctx->storename;
1364     if (!storename)
1365         storename = "MY";
1366     CAPI_trace(ctx, "Opening certificate store %s\n", storename);
1367
1368     hstore = CertOpenStore(CERT_STORE_PROV_SYSTEM_A, 0, 0,
1369                            ctx->store_flags, storename);
1370     if (!hstore) {
1371         CAPIerr(CAPI_F_CAPI_OPEN_STORE, CAPI_R_ERROR_OPENING_STORE);
1372         capi_addlasterror();
1373     }
1374     return hstore;
1375 }
1376
1377 int capi_list_certs(CAPI_CTX * ctx, BIO *out, char *id)
1378 {
1379     char *storename;
1380     int idx;
1381     int ret = 1;
1382     HCERTSTORE hstore;
1383     PCCERT_CONTEXT cert = NULL;
1384
1385     storename = ctx->storename;
1386     if (!storename)
1387         storename = "MY";
1388     CAPI_trace(ctx, "Listing certs for store %s\n", storename);
1389
1390     hstore = capi_open_store(ctx, storename);
1391     if (!hstore)
1392         return 0;
1393     if (id) {
1394         cert = capi_find_cert(ctx, id, hstore);
1395         if (!cert) {
1396             ret = 0;
1397             goto err;
1398         }
1399         capi_dump_cert(ctx, out, cert);
1400         CertFreeCertificateContext(cert);
1401     } else {
1402         for (idx = 0;; idx++) {
1403             cert = CertEnumCertificatesInStore(hstore, cert);
1404             if (!cert)
1405                 break;
1406             BIO_printf(out, "Certificate %d\n", idx);
1407             capi_dump_cert(ctx, out, cert);
1408         }
1409     }
1410  err:
1411     CertCloseStore(hstore, 0);
1412     return ret;
1413 }
1414
1415 static PCCERT_CONTEXT capi_find_cert(CAPI_CTX * ctx, const char *id,
1416                                      HCERTSTORE hstore)
1417 {
1418     PCCERT_CONTEXT cert = NULL;
1419     char *fname = NULL;
1420     int match;
1421     switch (ctx->lookup_method) {
1422     case CAPI_LU_SUBSTR:
1423         return CertFindCertificateInStore(hstore,
1424                                           X509_ASN_ENCODING, 0,
1425                                           CERT_FIND_SUBJECT_STR_A, id, NULL);
1426     case CAPI_LU_FNAME:
1427         for (;;) {
1428             cert = CertEnumCertificatesInStore(hstore, cert);
1429             if (!cert)
1430                 return NULL;
1431             fname = capi_cert_get_fname(ctx, cert);
1432             if (fname) {
1433                 if (strcmp(fname, id))
1434                     match = 0;
1435                 else
1436                     match = 1;
1437                 OPENSSL_free(fname);
1438                 if (match)
1439                     return cert;
1440             }
1441         }
1442     default:
1443         return NULL;
1444     }
1445 }
1446
1447 static CAPI_KEY *capi_get_key(CAPI_CTX * ctx, const TCHAR *contname,
1448                               TCHAR *provname, DWORD ptype, DWORD keyspec)
1449 {
1450     CAPI_KEY *key;
1451     DWORD dwFlags = 0;
1452     key = OPENSSL_malloc(sizeof(CAPI_KEY));
1453     if (key == NULL)
1454         return NULL;
1455     if (sizeof(TCHAR) == sizeof(char))
1456         CAPI_trace(ctx, "capi_get_key, contname=%s, provname=%s, type=%d\n",
1457                    contname, provname, ptype);
1458     else if (ctx && ctx->debug_level >= CAPI_DBG_TRACE && ctx->debug_file) {
1459         /* above 'if' is optimization to minimize malloc-ations */
1460         char *_contname = wide_to_asc((WCHAR *)contname);
1461         char *_provname = wide_to_asc((WCHAR *)provname);
1462
1463         CAPI_trace(ctx, "capi_get_key, contname=%s, provname=%s, type=%d\n",
1464                    _contname, _provname, ptype);
1465         if (_provname)
1466             OPENSSL_free(_provname);
1467         if (_contname)
1468             OPENSSL_free(_contname);
1469     }
1470     if (ctx->store_flags & CERT_SYSTEM_STORE_LOCAL_MACHINE)
1471         dwFlags = CRYPT_MACHINE_KEYSET;
1472     if (!CryptAcquireContext(&key->hprov, contname, provname, ptype, dwFlags)) {
1473         CAPIerr(CAPI_F_CAPI_GET_KEY, CAPI_R_CRYPTACQUIRECONTEXT_ERROR);
1474         capi_addlasterror();
1475         goto err;
1476     }
1477     if (!CryptGetUserKey(key->hprov, keyspec, &key->key)) {
1478         CAPIerr(CAPI_F_CAPI_GET_KEY, CAPI_R_GETUSERKEY_ERROR);
1479         capi_addlasterror();
1480         CryptReleaseContext(key->hprov, 0);
1481         goto err;
1482     }
1483     key->keyspec = keyspec;
1484     key->pcert = NULL;
1485     return key;
1486
1487  err:
1488     OPENSSL_free(key);
1489     return NULL;
1490 }
1491
1492 static CAPI_KEY *capi_get_cert_key(CAPI_CTX * ctx, PCCERT_CONTEXT cert)
1493 {
1494     CAPI_KEY *key = NULL;
1495     CRYPT_KEY_PROV_INFO *pinfo = NULL;
1496     char *provname = NULL, *contname = NULL;
1497     pinfo = capi_get_prov_info(ctx, cert);
1498     if (!pinfo)
1499         goto err;
1500     if (sizeof(TCHAR) != sizeof(char))
1501         key = capi_get_key(ctx, (TCHAR *)pinfo->pwszContainerName,
1502                            (TCHAR *)pinfo->pwszProvName,
1503                            pinfo->dwProvType, pinfo->dwKeySpec);
1504     else {
1505         provname = wide_to_asc(pinfo->pwszProvName);
1506         contname = wide_to_asc(pinfo->pwszContainerName);
1507         if (!provname || !contname)
1508             goto err;
1509         key = capi_get_key(ctx, (TCHAR *)contname, (TCHAR *)provname,
1510                            pinfo->dwProvType, pinfo->dwKeySpec);
1511     }
1512
1513  err:
1514     if (pinfo)
1515         OPENSSL_free(pinfo);
1516     if (provname)
1517         OPENSSL_free(provname);
1518     if (contname)
1519         OPENSSL_free(contname);
1520     return key;
1521 }
1522
1523 CAPI_KEY *capi_find_key(CAPI_CTX * ctx, const char *id)
1524 {
1525     PCCERT_CONTEXT cert;
1526     HCERTSTORE hstore;
1527     CAPI_KEY *key = NULL;
1528     switch (ctx->lookup_method) {
1529     case CAPI_LU_SUBSTR:
1530     case CAPI_LU_FNAME:
1531         hstore = capi_open_store(ctx, NULL);
1532         if (!hstore)
1533             return NULL;
1534         cert = capi_find_cert(ctx, id, hstore);
1535         if (cert) {
1536             key = capi_get_cert_key(ctx, cert);
1537             CertFreeCertificateContext(cert);
1538         }
1539         CertCloseStore(hstore, 0);
1540         break;
1541
1542     case CAPI_LU_CONTNAME:
1543         if (sizeof(TCHAR) != sizeof(char)) {
1544             WCHAR *contname, *provname;
1545             DWORD len;
1546
1547             if ((len = MultiByteToWideChar(CP_ACP, 0, id, -1, NULL, 0)) &&
1548                 (contname = alloca(len * sizeof(WCHAR)),
1549                  MultiByteToWideChar(CP_ACP, 0, id, -1, contname, len)) &&
1550                 (len =
1551                  MultiByteToWideChar(CP_ACP, 0, ctx->cspname, -1, NULL, 0))
1552                 && (provname =
1553                     alloca(len * sizeof(WCHAR)), MultiByteToWideChar(CP_ACP,
1554                                                                      0,
1555                                                                      ctx->cspname,
1556                                                                      -1,
1557                                                                      provname,
1558                                                                      len)))
1559                 key =
1560                     capi_get_key(ctx, (TCHAR *)contname, (TCHAR *)provname,
1561                                  ctx->csptype, ctx->keytype);
1562         } else
1563             key = capi_get_key(ctx, (TCHAR *)id,
1564                                (TCHAR *)ctx->cspname,
1565                                ctx->csptype, ctx->keytype);
1566         break;
1567     }
1568
1569     return key;
1570 }
1571
1572 void capi_free_key(CAPI_KEY * key)
1573 {
1574     if (!key)
1575         return;
1576     CryptDestroyKey(key->key);
1577     CryptReleaseContext(key->hprov, 0);
1578     if (key->pcert)
1579         CertFreeCertificateContext(key->pcert);
1580     OPENSSL_free(key);
1581 }
1582
1583 /* Initialize a CAPI_CTX structure */
1584
1585 static CAPI_CTX *capi_ctx_new()
1586 {
1587     CAPI_CTX *ctx;
1588     ctx = OPENSSL_malloc(sizeof(CAPI_CTX));
1589     if (!ctx) {
1590         CAPIerr(CAPI_F_CAPI_CTX_NEW, ERR_R_MALLOC_FAILURE);
1591         return NULL;
1592     }
1593     ctx->cspname = NULL;
1594     ctx->csptype = PROV_RSA_FULL;
1595     ctx->dump_flags = CAPI_DMP_SUMMARY | CAPI_DMP_FNAME;
1596     ctx->keytype = AT_KEYEXCHANGE;
1597     ctx->storename = NULL;
1598     ctx->ssl_client_store = NULL;
1599     ctx->store_flags = CERT_STORE_OPEN_EXISTING_FLAG |
1600         CERT_STORE_READONLY_FLAG | CERT_SYSTEM_STORE_CURRENT_USER;
1601     ctx->lookup_method = CAPI_LU_SUBSTR;
1602     ctx->debug_level = 0;
1603     ctx->debug_file = NULL;
1604     ctx->client_cert_select = cert_select_simple;
1605     return ctx;
1606 }
1607
1608 static void capi_ctx_free(CAPI_CTX * ctx)
1609 {
1610     CAPI_trace(ctx, "Calling capi_ctx_free with %lx\n", ctx);
1611     if (!ctx)
1612         return;
1613     if (ctx->cspname)
1614         OPENSSL_free(ctx->cspname);
1615     if (ctx->debug_file)
1616         OPENSSL_free(ctx->debug_file);
1617     if (ctx->storename)
1618         OPENSSL_free(ctx->storename);
1619     if (ctx->ssl_client_store)
1620         OPENSSL_free(ctx->ssl_client_store);
1621     OPENSSL_free(ctx);
1622 }
1623
1624 static int capi_ctx_set_provname(CAPI_CTX * ctx, LPSTR pname, DWORD type,
1625                                  int check)
1626 {
1627     CAPI_trace(ctx, "capi_ctx_set_provname, name=%s, type=%d\n", pname, type);
1628     if (check) {
1629         HCRYPTPROV hprov;
1630         LPTSTR name = NULL;
1631
1632         if (sizeof(TCHAR) != sizeof(char)) {
1633             DWORD len;
1634             if ((len = MultiByteToWideChar(CP_ACP, 0, pname, -1, NULL, 0))) {
1635                 name = alloca(len * sizeof(WCHAR));
1636                 MultiByteToWideChar(CP_ACP, 0, pname, -1, (WCHAR *)name, len);
1637             }
1638         } else
1639             name = (TCHAR *)pname;
1640
1641         if (!name || !CryptAcquireContext(&hprov, NULL, name, type,
1642                                           CRYPT_VERIFYCONTEXT)) {
1643             CAPIerr(CAPI_F_CAPI_CTX_SET_PROVNAME,
1644                     CAPI_R_CRYPTACQUIRECONTEXT_ERROR);
1645             capi_addlasterror();
1646             return 0;
1647         }
1648         CryptReleaseContext(hprov, 0);
1649     }
1650     if (ctx->cspname)
1651         OPENSSL_free(ctx->cspname);
1652     ctx->cspname = BUF_strdup(pname);
1653     ctx->csptype = type;
1654     return 1;
1655 }
1656
1657 static int capi_ctx_set_provname_idx(CAPI_CTX * ctx, int idx)
1658 {
1659     LPSTR pname;
1660     DWORD type;
1661     int res;
1662     if (capi_get_provname(ctx, &pname, &type, idx) != 1)
1663         return 0;
1664     res = capi_ctx_set_provname(ctx, pname, type, 0);
1665     OPENSSL_free(pname);
1666     return res;
1667 }
1668
1669 static int cert_issuer_match(STACK_OF(X509_NAME) *ca_dn, X509 *x)
1670 {
1671     int i;
1672     X509_NAME *nm;
1673     /* Special case: empty list: match anything */
1674     if (sk_X509_NAME_num(ca_dn) <= 0)
1675         return 1;
1676     for (i = 0; i < sk_X509_NAME_num(ca_dn); i++) {
1677         nm = sk_X509_NAME_value(ca_dn, i);
1678         if (!X509_NAME_cmp(nm, X509_get_issuer_name(x)))
1679             return 1;
1680     }
1681     return 0;
1682 }
1683
1684 static int capi_load_ssl_client_cert(ENGINE *e, SSL *ssl,
1685                                      STACK_OF(X509_NAME) *ca_dn, X509 **pcert,
1686                                      EVP_PKEY **pkey, STACK_OF(X509) **pother,
1687                                      UI_METHOD *ui_method,
1688                                      void *callback_data)
1689 {
1690     STACK_OF(X509) *certs = NULL;
1691     X509 *x;
1692     char *storename;
1693     const char *p;
1694     int i, client_cert_idx;
1695     HCERTSTORE hstore;
1696     PCCERT_CONTEXT cert = NULL, excert = NULL;
1697     CAPI_CTX *ctx;
1698     CAPI_KEY *key;
1699     ctx = ENGINE_get_ex_data(e, capi_idx);
1700
1701     *pcert = NULL;
1702     *pkey = NULL;
1703
1704     storename = ctx->ssl_client_store;
1705     if (!storename)
1706         storename = "MY";
1707
1708     hstore = capi_open_store(ctx, storename);
1709     if (!hstore)
1710         return 0;
1711     /* Enumerate all certificates collect any matches */
1712     for (i = 0;; i++) {
1713         cert = CertEnumCertificatesInStore(hstore, cert);
1714         if (!cert)
1715             break;
1716         p = cert->pbCertEncoded;
1717         x = d2i_X509(NULL, &p, cert->cbCertEncoded);
1718         if (!x) {
1719             CAPI_trace(ctx, "Can't Parse Certificate %d\n", i);
1720             continue;
1721         }
1722         if (cert_issuer_match(ca_dn, x)
1723             && X509_check_purpose(x, X509_PURPOSE_SSL_CLIENT, 0)) {
1724             key = capi_get_cert_key(ctx, cert);
1725             if (!key) {
1726                 X509_free(x);
1727                 continue;
1728             }
1729             /*
1730              * Match found: attach extra data to it so we can retrieve the
1731              * key later.
1732              */
1733             excert = CertDuplicateCertificateContext(cert);
1734             key->pcert = excert;
1735             X509_set_ex_data(x, cert_capi_idx, key);
1736
1737             if (!certs)
1738                 certs = sk_X509_new_null();
1739
1740             sk_X509_push(certs, x);
1741         } else
1742             X509_free(x);
1743
1744     }
1745
1746     if (cert)
1747         CertFreeCertificateContext(cert);
1748     if (hstore)
1749         CertCloseStore(hstore, 0);
1750
1751     if (!certs)
1752         return 0;
1753
1754     /* Select the appropriate certificate */
1755
1756     client_cert_idx = ctx->client_cert_select(e, ssl, certs);
1757
1758     /* Set the selected certificate and free the rest */
1759
1760     for (i = 0; i < sk_X509_num(certs); i++) {
1761         x = sk_X509_value(certs, i);
1762         if (i == client_cert_idx)
1763             *pcert = x;
1764         else {
1765             key = X509_get_ex_data(x, cert_capi_idx);
1766             capi_free_key(key);
1767             X509_free(x);
1768         }
1769     }
1770
1771     sk_X509_free(certs);
1772
1773     if (!*pcert)
1774         return 0;
1775
1776     /* Setup key for selected certificate */
1777
1778     key = X509_get_ex_data(*pcert, cert_capi_idx);
1779     *pkey = capi_get_pkey(e, key);
1780     X509_set_ex_data(*pcert, cert_capi_idx, NULL);
1781
1782     return 1;
1783
1784 }
1785
1786 /* Simple client cert selection function: always select first */
1787
1788 static int cert_select_simple(ENGINE *e, SSL *ssl, STACK_OF(X509) *certs)
1789 {
1790     return 0;
1791 }
1792
1793 # ifdef OPENSSL_CAPIENG_DIALOG
1794
1795 /*
1796  * More complex cert selection function, using standard function
1797  * CryptUIDlgSelectCertificateFromStore() to produce a dialog box.
1798  */
1799
1800 /*
1801  * Definitions which are in cryptuiapi.h but this is not present in older
1802  * versions of headers.
1803  */
1804
1805 #  ifndef CRYPTUI_SELECT_LOCATION_COLUMN
1806 #   define CRYPTUI_SELECT_LOCATION_COLUMN                   0x000000010
1807 #   define CRYPTUI_SELECT_INTENDEDUSE_COLUMN                0x000000004
1808 #  endif
1809
1810 #  define dlg_title L"OpenSSL Application SSL Client Certificate Selection"
1811 #  define dlg_prompt L"Select a certificate to use for authentication"
1812 #  define dlg_columns      CRYPTUI_SELECT_LOCATION_COLUMN \
1813                         |CRYPTUI_SELECT_INTENDEDUSE_COLUMN
1814
1815 static int cert_select_dialog(ENGINE *e, SSL *ssl, STACK_OF(X509) *certs)
1816 {
1817     X509 *x;
1818     HCERTSTORE dstore;
1819     PCCERT_CONTEXT cert;
1820     CAPI_CTX *ctx;
1821     CAPI_KEY *key;
1822     HWND hwnd;
1823     int i, idx = -1;
1824     if (sk_X509_num(certs) == 1)
1825         return 0;
1826     ctx = ENGINE_get_ex_data(e, capi_idx);
1827     /* Create an in memory store of certificates */
1828     dstore = CertOpenStore(CERT_STORE_PROV_MEMORY, 0, 0,
1829                            CERT_STORE_CREATE_NEW_FLAG, NULL);
1830     if (!dstore) {
1831         CAPIerr(CAPI_F_CERT_SELECT_DIALOG, CAPI_R_ERROR_CREATING_STORE);
1832         capi_addlasterror();
1833         goto err;
1834     }
1835     /* Add all certificates to store */
1836     for (i = 0; i < sk_X509_num(certs); i++) {
1837         x = sk_X509_value(certs, i);
1838         key = X509_get_ex_data(x, cert_capi_idx);
1839
1840         if (!CertAddCertificateContextToStore(dstore, key->pcert,
1841                                               CERT_STORE_ADD_NEW, NULL)) {
1842             CAPIerr(CAPI_F_CERT_SELECT_DIALOG, CAPI_R_ERROR_ADDING_CERT);
1843             capi_addlasterror();
1844             goto err;
1845         }
1846
1847     }
1848     hwnd = GetForegroundWindow();
1849     if (!hwnd)
1850         hwnd = GetActiveWindow();
1851     if (!hwnd && ctx->getconswindow)
1852         hwnd = ctx->getconswindow();
1853     /* Call dialog to select one */
1854     cert = ctx->certselectdlg(dstore, hwnd, dlg_title, dlg_prompt,
1855                               dlg_columns, 0, NULL);
1856
1857     /* Find matching cert from list */
1858     if (cert) {
1859         for (i = 0; i < sk_X509_num(certs); i++) {
1860             x = sk_X509_value(certs, i);
1861             key = X509_get_ex_data(x, cert_capi_idx);
1862             if (CertCompareCertificate
1863                 (X509_ASN_ENCODING | PKCS_7_ASN_ENCODING, cert->pCertInfo,
1864                  key->pcert->pCertInfo)) {
1865                 idx = i;
1866                 break;
1867             }
1868         }
1869     }
1870
1871  err:
1872     if (dstore)
1873         CertCloseStore(dstore, 0);
1874     return idx;
1875
1876 }
1877 # endif
1878
1879 #else                           /* !__COMPILE_CAPIENG */
1880 # include <openssl/engine.h>
1881 # ifndef OPENSSL_NO_DYNAMIC_ENGINE
1882 OPENSSL_EXPORT
1883     int bind_engine(ENGINE *e, const char *id, const dynamic_fns *fns);
1884 OPENSSL_EXPORT
1885     int bind_engine(ENGINE *e, const char *id, const dynamic_fns *fns)
1886 {
1887     return 0;
1888 }
1889
1890 IMPLEMENT_DYNAMIC_CHECK_FN()
1891 # else
1892 void ENGINE_load_capi(void)
1893 {
1894 }
1895 # endif
1896 #endif