Move CT viewer extension code to crypto/x509v3
[openssl.git] / apps / ocsp.c
index a8e00fd..ccf2f0f 100644 (file)
@@ -75,6 +75,7 @@
 #include <openssl/ssl.h>
 #include <openssl/evp.h>
 #include <openssl/bn.h>
 #include <openssl/ssl.h>
 #include <openssl/evp.h>
 #include <openssl/bn.h>
+#include <openssl/x509v3.h>
 
 #if defined(NETWARE_CLIB)
 #  ifdef NETWARE_BSDSOCK
 
 #if defined(NETWARE_CLIB)
 #  ifdef NETWARE_BSDSOCK
@@ -99,21 +100,22 @@ static int add_ocsp_cert(OCSP_REQUEST **req, X509 *cert, const EVP_MD *cert_id_m
 static int add_ocsp_serial(OCSP_REQUEST **req, char *serial, const EVP_MD * cert_id_md, X509 *issuer,
                                STACK_OF(OCSP_CERTID) *ids);
 static int print_ocsp_summary(BIO *out, OCSP_BASICRESP *bs, OCSP_REQUEST *req,
 static int add_ocsp_serial(OCSP_REQUEST **req, char *serial, const EVP_MD * cert_id_md, X509 *issuer,
                                STACK_OF(OCSP_CERTID) *ids);
 static int print_ocsp_summary(BIO *out, OCSP_BASICRESP *bs, OCSP_REQUEST *req,
-                             STACK_OF(STRING) *names,
+                             STACK_OF(OPENSSL_STRING) *names,
                              STACK_OF(OCSP_CERTID) *ids, long nsec,
                              long maxage);
 
 static int make_ocsp_response(OCSP_RESPONSE **resp, OCSP_REQUEST *req, CA_DB *db,
                              STACK_OF(OCSP_CERTID) *ids, long nsec,
                              long maxage);
 
 static int make_ocsp_response(OCSP_RESPONSE **resp, OCSP_REQUEST *req, CA_DB *db,
-                       X509 *ca, X509 *rcert, EVP_PKEY *rkey,
+                       X509 *ca, X509 *rcert, EVP_PKEY *rkey, const EVP_MD *md,
                        STACK_OF(X509) *rother, unsigned long flags,
                        STACK_OF(X509) *rother, unsigned long flags,
-                       int nmin, int ndays);
+                       int nmin, int ndays, int badsig);
 
 static char **lookup_serial(CA_DB *db, ASN1_INTEGER *ser);
 
 static char **lookup_serial(CA_DB *db, ASN1_INTEGER *ser);
-static BIO *init_responder(char *port);
-static int do_responder(OCSP_REQUEST **preq, BIO **pcbio, BIO *acbio, char *port);
+static BIO *init_responder(const char *port);
+static int do_responder(OCSP_REQUEST **preq, BIO **pcbio, BIO *acbio, const char *port);
 static int send_ocsp_response(BIO *cbio, OCSP_RESPONSE *resp);
 static int send_ocsp_response(BIO *cbio, OCSP_RESPONSE *resp);
-static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, char *path,
-                               OCSP_REQUEST *req, int req_timeout);
+static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, const char *path,
+                                     const STACK_OF(CONF_VALUE) *headers,
+                                     OCSP_REQUEST *req, int req_timeout);
 
 #undef PROG
 #define PROG ocsp_main
 
 #undef PROG
 #define PROG ocsp_main
@@ -131,6 +133,7 @@ int MAIN(int argc, char **argv)
        char *rsignfile = NULL, *rkeyfile = NULL;
        char *outfile = NULL;
        int add_nonce = 1, noverify = 0, use_ssl = -1;
        char *rsignfile = NULL, *rkeyfile = NULL;
        char *outfile = NULL;
        int add_nonce = 1, noverify = 0, use_ssl = -1;
+       STACK_OF(CONF_VALUE) *headers = NULL;
        OCSP_REQUEST *req = NULL;
        OCSP_RESPONSE *resp = NULL;
        OCSP_BASICRESP *bs = NULL;
        OCSP_REQUEST *req = NULL;
        OCSP_RESPONSE *resp = NULL;
        OCSP_BASICRESP *bs = NULL;
@@ -145,15 +148,17 @@ int MAIN(int argc, char **argv)
        long nsec = MAX_VALIDITY_PERIOD, maxage = -1;
        char *CAfile = NULL, *CApath = NULL;
        X509_STORE *store = NULL;
        long nsec = MAX_VALIDITY_PERIOD, maxage = -1;
        char *CAfile = NULL, *CApath = NULL;
        X509_STORE *store = NULL;
+       X509_VERIFY_PARAM *vpm = NULL;
        STACK_OF(X509) *sign_other = NULL, *verify_other = NULL, *rother = NULL;
        char *sign_certfile = NULL, *verify_certfile = NULL, *rcertfile = NULL;
        unsigned long sign_flags = 0, verify_flags = 0, rflags = 0;
        int ret = 1;
        int accept_count = -1;
        int badarg = 0;
        STACK_OF(X509) *sign_other = NULL, *verify_other = NULL, *rother = NULL;
        char *sign_certfile = NULL, *verify_certfile = NULL, *rcertfile = NULL;
        unsigned long sign_flags = 0, verify_flags = 0, rflags = 0;
        int ret = 1;
        int accept_count = -1;
        int badarg = 0;
+       int badsig = 0;
        int i;
        int ignore_err = 0;
        int i;
        int ignore_err = 0;
-       STACK_OF(STRING) *reqnames = NULL;
+       STACK_OF(OPENSSL_STRING) *reqnames = NULL;
        STACK_OF(OCSP_CERTID) *ids = NULL;
 
        X509 *rca_cert = NULL;
        STACK_OF(OCSP_CERTID) *ids = NULL;
 
        X509 *rca_cert = NULL;
@@ -161,7 +166,7 @@ int MAIN(int argc, char **argv)
        char *rca_filename = NULL;
        CA_DB *rdb = NULL;
        int nmin = 0, ndays = -1;
        char *rca_filename = NULL;
        CA_DB *rdb = NULL;
        int nmin = 0, ndays = -1;
-       const EVP_MD *cert_id_md = NULL;
+       const EVP_MD *cert_id_md = NULL, *rsign_md = NULL;
 
        if (bio_err == NULL) bio_err = BIO_new_fp(stderr, BIO_NOCLOSE);
 
 
        if (bio_err == NULL) bio_err = BIO_new_fp(stderr, BIO_NOCLOSE);
 
@@ -170,7 +175,7 @@ int MAIN(int argc, char **argv)
        SSL_load_error_strings();
        OpenSSL_add_ssl_algorithms();
        args = argv + 1;
        SSL_load_error_strings();
        OpenSSL_add_ssl_algorithms();
        args = argv + 1;
-       reqnames = sk_STRING_new_null();
+       reqnames = sk_OPENSSL_STRING_new_null();
        ids = sk_OCSP_CERTID_new_null();
        while (!badarg && *args && *args[0] == '-')
                {
        ids = sk_OCSP_CERTID_new_null();
        while (!badarg && *args && *args[0] == '-')
                {
@@ -230,6 +235,16 @@ int MAIN(int argc, char **argv)
                                }
                        else badarg = 1;
                        }
                                }
                        else badarg = 1;
                        }
+               else if (!strcmp(*args, "-header"))
+                       {
+                       if (args[1] && args[2])
+                               {
+                               if (!X509V3_add_value(args[1], args[2], &headers))
+                                       goto end;
+                               args += 2;
+                               }
+                       else badarg = 1;
+                       }
                else if (!strcmp(*args, "-ignore_err"))
                        ignore_err = 1;
                else if (!strcmp(*args, "-noverify"))
                else if (!strcmp(*args, "-ignore_err"))
                        ignore_err = 1;
                else if (!strcmp(*args, "-noverify"))
@@ -258,6 +273,8 @@ int MAIN(int argc, char **argv)
                        verify_flags |= OCSP_TRUSTOTHER;
                else if (!strcmp(*args, "-no_intern"))
                        verify_flags |= OCSP_NOINTERN;
                        verify_flags |= OCSP_TRUSTOTHER;
                else if (!strcmp(*args, "-no_intern"))
                        verify_flags |= OCSP_NOINTERN;
+               else if (!strcmp(*args, "-badsig"))
+                       badsig = 1;
                else if (!strcmp(*args, "-text"))
                        {
                        req_text = 1;
                else if (!strcmp(*args, "-text"))
                        {
                        req_text = 1;
@@ -340,6 +357,12 @@ int MAIN(int argc, char **argv)
                                }
                        else badarg = 1;
                        }
                                }
                        else badarg = 1;
                        }
+               else if (args_verify(&args, NULL, &badarg, bio_err, &vpm))
+                       {
+                       if (badarg)
+                               goto end;
+                       continue;
+                       }
                else if (!strcmp (*args, "-validity_period"))
                        {
                        if (args[1])
                else if (!strcmp (*args, "-validity_period"))
                        {
                        if (args[1])
@@ -432,7 +455,7 @@ int MAIN(int argc, char **argv)
                                if (!cert_id_md) cert_id_md = EVP_sha1();
                                if(!add_ocsp_cert(&req, cert, cert_id_md, issuer, ids))
                                        goto end;
                                if (!cert_id_md) cert_id_md = EVP_sha1();
                                if(!add_ocsp_cert(&req, cert, cert_id_md, issuer, ids))
                                        goto end;
-                               if(!sk_STRING_push(reqnames, *args))
+                               if(!sk_OPENSSL_STRING_push(reqnames, *args))
                                        goto end;
                                }
                        else badarg = 1;
                                        goto end;
                                }
                        else badarg = 1;
@@ -445,7 +468,7 @@ int MAIN(int argc, char **argv)
                                if (!cert_id_md) cert_id_md = EVP_sha1();
                                if(!add_ocsp_serial(&req, *args, cert_id_md, issuer, ids))
                                        goto end;
                                if (!cert_id_md) cert_id_md = EVP_sha1();
                                if(!add_ocsp_serial(&req, *args, cert_id_md, issuer, ids))
                                        goto end;
-                               if(!sk_STRING_push(reqnames, *args))
+                               if(!sk_OPENSSL_STRING_push(reqnames, *args))
                                        goto end;
                                }
                        else badarg = 1;
                                        goto end;
                                }
                        else badarg = 1;
@@ -545,6 +568,17 @@ int MAIN(int argc, char **argv)
                                }
                        else badarg = 1;
                        }
                                }
                        else badarg = 1;
                        }
+               else if (!strcmp(*args, "-rmd"))
+                       {
+                       if (args[1])
+                               {
+                               args++;
+                               rsign_md = EVP_get_digestbyname(*args);
+                               if (!rsign_md)
+                                       badarg = 1;
+                               }
+                       else badarg = 1;
+                       }
                else if ((cert_id_md = EVP_get_digestbyname((*args)+1))==NULL)
                        {
                        badarg = 1;
                else if ((cert_id_md = EVP_get_digestbyname((*args)+1))==NULL)
                        {
                        badarg = 1;
@@ -604,7 +638,7 @@ int MAIN(int argc, char **argv)
                BIO_printf (bio_err, "-ndays n           number of days before next update\n");
                BIO_printf (bio_err, "-resp_key_id       identify reponse by signing certificate key ID\n");
                BIO_printf (bio_err, "-nrequest n        number of requests to accept (default unlimited)\n");
                BIO_printf (bio_err, "-ndays n           number of days before next update\n");
                BIO_printf (bio_err, "-resp_key_id       identify reponse by signing certificate key ID\n");
                BIO_printf (bio_err, "-nrequest n        number of requests to accept (default unlimited)\n");
-               BIO_printf (bio_err, "-<dgst alg>     use specified digest in the request");
+               BIO_printf (bio_err, "-<dgst alg>     use specified digest in the request\n");
                goto end;
                }
 
                goto end;
                }
 
@@ -621,7 +655,10 @@ int MAIN(int argc, char **argv)
 
        if (!req && reqin)
                {
 
        if (!req && reqin)
                {
-               derbio = BIO_new_file(reqin, "rb");
+               if (!strcmp(reqin, "-"))
+                       derbio = BIO_new_fp(stdin, BIO_NOCLOSE);
+               else
+                       derbio = BIO_new_file(reqin, "rb");
                if (!derbio)
                        {
                        BIO_printf(bio_err, "Error Opening OCSP request file\n");
                if (!derbio)
                        {
                        BIO_printf(bio_err, "Error Opening OCSP request file\n");
@@ -723,7 +760,10 @@ int MAIN(int argc, char **argv)
 
        if (reqout)
                {
 
        if (reqout)
                {
-               derbio = BIO_new_file(reqout, "wb");
+               if (!strcmp(reqout, "-"))
+                       derbio = BIO_new_fp(stdout, BIO_NOCLOSE);
+               else
+                       derbio = BIO_new_file(reqout, "wb");
                if(!derbio)
                        {
                        BIO_printf(bio_err, "Error opening file %s\n", reqout);
                if(!derbio)
                        {
                        BIO_printf(bio_err, "Error opening file %s\n", reqout);
@@ -748,7 +788,7 @@ int MAIN(int argc, char **argv)
 
        if (rdb)
                {
 
        if (rdb)
                {
-               i = make_ocsp_response(&resp, req, rdb, rca_cert, rsigner, rkey, rother, rflags, nmin, ndays);
+               i = make_ocsp_response(&resp, req, rdb, rca_cert, rsigner, rkey,rsign_md, rother, rflags, nmin, ndays, badsig);
                if (cbio)
                        send_ocsp_response(cbio, resp);
                }
                if (cbio)
                        send_ocsp_response(cbio, resp);
                }
@@ -756,7 +796,7 @@ int MAIN(int argc, char **argv)
                {
 #ifndef OPENSSL_NO_SOCK
                resp = process_responder(bio_err, req, host, path,
                {
 #ifndef OPENSSL_NO_SOCK
                resp = process_responder(bio_err, req, host, path,
-                                               port, use_ssl, req_timeout);
+                                       port, use_ssl, headers, req_timeout);
                if (!resp)
                        goto end;
 #else
                if (!resp)
                        goto end;
 #else
@@ -766,7 +806,10 @@ int MAIN(int argc, char **argv)
                }
        else if (respin)
                {
                }
        else if (respin)
                {
-               derbio = BIO_new_file(respin, "rb");
+               if (!strcmp(respin, "-"))
+                       derbio = BIO_new_fp(stdin, BIO_NOCLOSE);
+               else
+                       derbio = BIO_new_file(respin, "rb");
                if (!derbio)
                        {
                        BIO_printf(bio_err, "Error Opening OCSP response file\n");
                if (!derbio)
                        {
                        BIO_printf(bio_err, "Error Opening OCSP response file\n");
@@ -791,7 +834,10 @@ int MAIN(int argc, char **argv)
 
        if (respout)
                {
 
        if (respout)
                {
-               derbio = BIO_new_file(respout, "wb");
+               if (!strcmp(respout, "-"))
+                       derbio = BIO_new_fp(stdout, BIO_NOCLOSE);
+               else
+                       derbio = BIO_new_file(respout, "wb");
                if(!derbio)
                        {
                        BIO_printf(bio_err, "Error opening file %s\n", respout);
                if(!derbio)
                        {
                        BIO_printf(bio_err, "Error opening file %s\n", respout);
@@ -831,6 +877,12 @@ int MAIN(int argc, char **argv)
                        resp = NULL;
                        goto redo_accept;
                        }
                        resp = NULL;
                        goto redo_accept;
                        }
+               ret = 0;
+               goto end;
+               }
+       else if (ridx_filename)
+               {
+               ret = 0;
                goto end;
                }
 
                goto end;
                }
 
@@ -838,6 +890,8 @@ int MAIN(int argc, char **argv)
                store = setup_verify(bio_err, CAfile, CApath);
        if (!store)
                goto end;
                store = setup_verify(bio_err, CAfile, CApath);
        if (!store)
                goto end;
+       if (vpm)
+               X509_STORE_set1_param(store, vpm);
        if (verify_certfile)
                {
                verify_other = load_certs(bio_err, verify_certfile, FORMAT_PEM,
        if (verify_certfile)
                {
                verify_other = load_certs(bio_err, verify_certfile, FORMAT_PEM,
@@ -853,6 +907,8 @@ int MAIN(int argc, char **argv)
                goto end;
                }
 
                goto end;
                }
 
+       ret = 0;
+
        if (!noverify)
                {
                if (req && ((i = OCSP_check_nonce(req, bs)) <= 0))
        if (!noverify)
                {
                if (req && ((i = OCSP_check_nonce(req, bs)) <= 0))
@@ -862,17 +918,17 @@ int MAIN(int argc, char **argv)
                        else
                                {
                                BIO_printf(bio_err, "Nonce Verify error\n");
                        else
                                {
                                BIO_printf(bio_err, "Nonce Verify error\n");
+                               ret = 1;
                                goto end;
                                }
                        }
 
                i = OCSP_basic_verify(bs, verify_other, store, verify_flags);
                                goto end;
                                }
                        }
 
                i = OCSP_basic_verify(bs, verify_other, store, verify_flags);
-                if (i < 0) i = OCSP_basic_verify(bs, NULL, store, 0);
-
                if(i <= 0)
                        {
                        BIO_printf(bio_err, "Response Verify Failure\n");
                        ERR_print_errors(bio_err);
                if(i <= 0)
                        {
                        BIO_printf(bio_err, "Response Verify Failure\n");
                        ERR_print_errors(bio_err);
+                       ret = 1;
                        }
                else
                        BIO_printf(bio_err, "Response verify OK\n");
                        }
                else
                        BIO_printf(bio_err, "Response verify OK\n");
@@ -880,14 +936,14 @@ int MAIN(int argc, char **argv)
                }
 
        if (!print_ocsp_summary(out, bs, req, reqnames, ids, nsec, maxage))
                }
 
        if (!print_ocsp_summary(out, bs, req, reqnames, ids, nsec, maxage))
-               goto end;
-
-       ret = 0;
+               ret = 1;
 
 end:
        ERR_print_errors(bio_err);
        X509_free(signer);
        X509_STORE_free(store);
 
 end:
        ERR_print_errors(bio_err);
        X509_free(signer);
        X509_STORE_free(store);
+       if (vpm)
+               X509_VERIFY_PARAM_free(vpm);
        EVP_PKEY_free(key);
        EVP_PKEY_free(rkey);
        X509_free(issuer);
        EVP_PKEY_free(key);
        EVP_PKEY_free(rkey);
        X509_free(issuer);
@@ -901,10 +957,11 @@ end:
        OCSP_REQUEST_free(req);
        OCSP_RESPONSE_free(resp);
        OCSP_BASICRESP_free(bs);
        OCSP_REQUEST_free(req);
        OCSP_RESPONSE_free(resp);
        OCSP_BASICRESP_free(bs);
-       sk_STRING_free(reqnames);
+       sk_OPENSSL_STRING_free(reqnames);
        sk_OCSP_CERTID_free(ids);
        sk_X509_pop_free(sign_other, X509_free);
        sk_X509_pop_free(verify_other, X509_free);
        sk_OCSP_CERTID_free(ids);
        sk_X509_pop_free(sign_other, X509_free);
        sk_X509_pop_free(verify_other, X509_free);
+       sk_CONF_VALUE_pop_free(headers, X509V3_conf_free);
 
        if (use_ssl != -1)
                {
 
        if (use_ssl != -1)
                {
@@ -971,7 +1028,7 @@ static int add_ocsp_serial(OCSP_REQUEST **req, char *serial,const EVP_MD *cert_i
        }
 
 static int print_ocsp_summary(BIO *out, OCSP_BASICRESP *bs, OCSP_REQUEST *req,
        }
 
 static int print_ocsp_summary(BIO *out, OCSP_BASICRESP *bs, OCSP_REQUEST *req,
-                             STACK_OF(STRING) *names,
+                             STACK_OF(OPENSSL_STRING) *names,
                              STACK_OF(OCSP_CERTID) *ids, long nsec,
                              long maxage)
        {
                              STACK_OF(OCSP_CERTID) *ids, long nsec,
                              long maxage)
        {
@@ -983,13 +1040,13 @@ static int print_ocsp_summary(BIO *out, OCSP_BASICRESP *bs, OCSP_REQUEST *req,
 
        ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
 
 
        ASN1_GENERALIZEDTIME *rev, *thisupd, *nextupd;
 
-       if (!bs || !req || !sk_STRING_num(names) || !sk_OCSP_CERTID_num(ids))
+       if (!bs || !req || !sk_OPENSSL_STRING_num(names) || !sk_OCSP_CERTID_num(ids))
                return 1;
 
        for (i = 0; i < sk_OCSP_CERTID_num(ids); i++)
                {
                id = sk_OCSP_CERTID_value(ids, i);
                return 1;
 
        for (i = 0; i < sk_OCSP_CERTID_num(ids); i++)
                {
                id = sk_OCSP_CERTID_value(ids, i);
-               name = sk_STRING_value(names, i);
+               name = sk_OPENSSL_STRING_value(names, i);
                BIO_printf(out, "%s: ", name);
 
                if(!OCSP_resp_find_status(bs, id, &status, &reason,
                BIO_printf(out, "%s: ", name);
 
                if(!OCSP_resp_find_status(bs, id, &status, &reason,
@@ -1037,9 +1094,10 @@ static int print_ocsp_summary(BIO *out, OCSP_BASICRESP *bs, OCSP_REQUEST *req,
 
 
 static int make_ocsp_response(OCSP_RESPONSE **resp, OCSP_REQUEST *req, CA_DB *db,
 
 
 static int make_ocsp_response(OCSP_RESPONSE **resp, OCSP_REQUEST *req, CA_DB *db,
-                       X509 *ca, X509 *rcert, EVP_PKEY *rkey,
+                       X509 *ca, X509 *rcert,
+                       EVP_PKEY *rkey, const EVP_MD *rmd,
                        STACK_OF(X509) *rother, unsigned long flags,
                        STACK_OF(X509) *rother, unsigned long flags,
-                       int nmin, int ndays)
+                       int nmin, int ndays, int badsig)
        {
        ASN1_TIME *thisupd = NULL, *nextupd = NULL;
        OCSP_CERTID *cid, *ca_id = NULL;
        {
        ASN1_TIME *thisupd = NULL, *nextupd = NULL;
        OCSP_CERTID *cid, *ca_id = NULL;
@@ -1128,7 +1186,10 @@ static int make_ocsp_response(OCSP_RESPONSE **resp, OCSP_REQUEST *req, CA_DB *db
 
        OCSP_copy_nonce(bs, req);
        
 
        OCSP_copy_nonce(bs, req);
        
-       OCSP_basic_sign(bs, rcert, rkey, NULL, rother, flags);
+       OCSP_basic_sign(bs, rcert, rkey, rmd, rother, flags);
+
+       if (badsig)
+               bs->signature->data[bs->signature->length -1] ^= 0x1;
 
        *resp = OCSP_response_create(OCSP_RESPONSE_STATUS_SUCCESSFUL, bs);
 
 
        *resp = OCSP_response_create(OCSP_RESPONSE_STATUS_SUCCESSFUL, bs);
 
@@ -1162,7 +1223,7 @@ static char **lookup_serial(CA_DB *db, ASN1_INTEGER *ser)
 
 /* Quick and dirty OCSP server: read in and parse input request */
 
 
 /* Quick and dirty OCSP server: read in and parse input request */
 
-static BIO *init_responder(char *port)
+static BIO *init_responder(const char *port)
        {
        BIO *acbio = NULL, *bufbio = NULL;
        bufbio = BIO_new(BIO_f_buffer());
        {
        BIO *acbio = NULL, *bufbio = NULL;
        bufbio = BIO_new(BIO_f_buffer());
@@ -1193,7 +1254,8 @@ static BIO *init_responder(char *port)
        return NULL;
        }
 
        return NULL;
        }
 
-static int do_responder(OCSP_REQUEST **preq, BIO **pcbio, BIO *acbio, char *port)
+static int do_responder(OCSP_REQUEST **preq, BIO **pcbio, BIO *acbio,
+                       const char *port)
        {
        int have_post = 0, len;
        OCSP_REQUEST *req = NULL;
        {
        int have_post = 0, len;
        OCSP_REQUEST *req = NULL;
@@ -1259,11 +1321,13 @@ static int send_ocsp_response(BIO *cbio, OCSP_RESPONSE *resp)
        return 1;
        }
 
        return 1;
        }
 
-static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, char *path,
-                               OCSP_REQUEST *req, int req_timeout)
+static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, const char *path,
+                                     const STACK_OF(CONF_VALUE) *headers,
+                                     OCSP_REQUEST *req, int req_timeout)
        {
        int fd;
        int rv;
        {
        int fd;
        int rv;
+       int i;
        OCSP_REQ_CTX *ctx = NULL;
        OCSP_RESPONSE *rsp = NULL;
        fd_set confds;
        OCSP_REQ_CTX *ctx = NULL;
        OCSP_RESPONSE *rsp = NULL;
        fd_set confds;
@@ -1280,16 +1344,13 @@ static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, char *path,
                return NULL;
                }
 
                return NULL;
                }
 
-       if (req_timeout == -1)
-               return OCSP_sendreq_bio(cbio, path, req);
-
        if (BIO_get_fd(cbio, &fd) <= 0)
                {
                BIO_puts(err, "Can't get connection fd\n");
                goto err;
                }
 
        if (BIO_get_fd(cbio, &fd) <= 0)
                {
                BIO_puts(err, "Can't get connection fd\n");
                goto err;
                }
 
-       if (rv <= 0)
+       if (req_timeout != -1 && rv <= 0)
                {
                FD_ZERO(&confds);
                openssl_fdset(fd, &confds);
                {
                FD_ZERO(&confds);
                openssl_fdset(fd, &confds);
@@ -1304,15 +1365,27 @@ static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, char *path,
                }
 
 
                }
 
 
-       ctx = OCSP_sendreq_new(cbio, path, req, -1);
+       ctx = OCSP_sendreq_new(cbio, path, NULL, -1);
        if (!ctx)
                return NULL;
        if (!ctx)
                return NULL;
+
+       for (i = 0; i < sk_CONF_VALUE_num(headers); i++)
+               {
+               CONF_VALUE *hdr = sk_CONF_VALUE_value(headers, i);
+               if (!OCSP_REQ_CTX_add1_header(ctx, hdr->name, hdr->value))
+                       goto err;
+               }
+
+       if (!OCSP_REQ_CTX_set1_req(ctx, req))
+               goto err;
        
        for (;;)
                {
                rv = OCSP_sendreq_nbio(&rsp, ctx);
                if (rv != -1)
                        break;
        
        for (;;)
                {
                rv = OCSP_sendreq_nbio(&rsp, ctx);
                if (rv != -1)
                        break;
+               if (req_timeout == -1)
+                       continue;
                FD_ZERO(&confds);
                openssl_fdset(fd, &confds);
                tv.tv_usec = 0;
                FD_ZERO(&confds);
                openssl_fdset(fd, &confds);
                tv.tv_usec = 0;
@@ -1336,7 +1409,7 @@ static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, char *path,
                        BIO_puts(err, "Select error\n");
                        break;
                        }
                        BIO_puts(err, "Select error\n");
                        break;
                        }
-                       
+
                }
        err:
        if (ctx)
                }
        err:
        if (ctx)
@@ -1346,8 +1419,10 @@ static OCSP_RESPONSE *query_responder(BIO *err, BIO *cbio, char *path,
        }
 
 OCSP_RESPONSE *process_responder(BIO *err, OCSP_REQUEST *req,
        }
 
 OCSP_RESPONSE *process_responder(BIO *err, OCSP_REQUEST *req,
-                       char *host, char *path, char *port, int use_ssl,
-                       int req_timeout)
+                                const char *host, const char *path,
+                                const char *port, int use_ssl,
+                                const STACK_OF(CONF_VALUE) *headers,
+                                int req_timeout)
        {
        BIO *cbio = NULL;
        SSL_CTX *ctx = NULL;
        {
        BIO *cbio = NULL;
        SSL_CTX *ctx = NULL;
@@ -1381,14 +1456,14 @@ OCSP_RESPONSE *process_responder(BIO *err, OCSP_REQUEST *req,
                sbio = BIO_new_ssl(ctx, 1);
                cbio = BIO_push(sbio, cbio);
                }
                sbio = BIO_new_ssl(ctx, 1);
                cbio = BIO_push(sbio, cbio);
                }
-       resp = query_responder(err, cbio, path, req, req_timeout);
+       resp = query_responder(err, cbio, path, headers, req, req_timeout);
        if (!resp)
                BIO_printf(bio_err, "Error querying OCSP responsder\n");
        end:
        if (!resp)
                BIO_printf(bio_err, "Error querying OCSP responsder\n");
        end:
-       if (ctx)
-               SSL_CTX_free(ctx);
        if (cbio)
                BIO_free_all(cbio);
        if (cbio)
                BIO_free_all(cbio);
+       if (ctx)
+               SSL_CTX_free(ctx);
        return resp;
        }
 
        return resp;
        }