Add support for -no-CApath and -no-CAfile options

author Matt Caswell <matt@openssl.org>

Tue, 22 Sep 2015 15:00:52 +0000 (16:00 +0100)

committer Matt Caswell <matt@openssl.org>

Fri, 25 Sep 2015 13:49:59 +0000 (14:49 +0100)
author Matt Caswell <matt@openssl.org>
Tue, 22 Sep 2015 15:00:52 +0000 (16:00 +0100)
committer Matt Caswell <matt@openssl.org>
Fri, 25 Sep 2015 13:49:59 +0000 (14:49 +0100)
diff --git a/apps/apps.c b/apps/apps.c

index 5b6a605dfdff221f52519e3b6b51c47fc2499195..39ca963b5f09c4c34d80df651da102dd1f37a00f 100644 (file)
--- a/apps/apps.c
+++ b/apps/apps.c
@@ -227,11 +227,17 @@ int app_init(long mesgwin)
  }
  #endif
  
  }
  #endif
  
-int ctx_set_verify_locations(SSL_CTX *ctx,
-                             const char *CAfile, const char *CApath)
+int ctx_set_verify_locations(SSL_CTX *ctx, const char *CAfile,
+                             const char *CApath, int noCAfile, int noCApath)
  {
  {
-    if (CAfile == NULL && CApath == NULL)
-        return SSL_CTX_set_default_verify_paths(ctx);
+    if (CAfile == NULL && CApath == NULL) {
+        if (!noCAfile && SSL_CTX_set_default_verify_file(ctx) <= 0)
+            return 0;
+        if (!noCApath && SSL_CTX_set_default_verify_dir(ctx) <= 0)
+            return 0;
+
+        return 1;
+    }
      return SSL_CTX_load_verify_locations(ctx, CAfile, CApath);
  }
  
      return SSL_CTX_load_verify_locations(ctx, CAfile, CApath);
  }
  
@@ -1244,34 +1250,39 @@ void print_array(BIO *out, const char* title, int len, const unsigned char* d)
      BIO_printf(out, "\n};\n");
  }
  
      BIO_printf(out, "\n};\n");
  }
  
-X509_STORE *setup_verify(char *CAfile, char *CApath)
+X509_STORE *setup_verify(char *CAfile, char *CApath, int noCAfile, int noCApath)
  {
      X509_STORE *store = X509_STORE_new();
      X509_LOOKUP *lookup;
  
      if (!store)
          goto end;
  {
      X509_STORE *store = X509_STORE_new();
      X509_LOOKUP *lookup;
  
      if (!store)
          goto end;
-    lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file());
-    if (lookup == NULL)
-        goto end;
-    if (CAfile) {
-        if (!X509_LOOKUP_load_file(lookup, CAfile, X509_FILETYPE_PEM)) {
-            BIO_printf(bio_err, "Error loading file %s\n", CAfile);
+
+    if(CAfile != NULL || !noCAfile) {
+        lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file());
+        if (lookup == NULL)
              goto end;
              goto end;
-        }
-    } else
-        X509_LOOKUP_load_file(lookup, NULL, X509_FILETYPE_DEFAULT);
+        if (CAfile) {
+            if (!X509_LOOKUP_load_file(lookup, CAfile, X509_FILETYPE_PEM)) {
+                BIO_printf(bio_err, "Error loading file %s\n", CAfile);
+                goto end;
+            }
+        } else
+            X509_LOOKUP_load_file(lookup, NULL, X509_FILETYPE_DEFAULT);
+    }
  
  
-    lookup = X509_STORE_add_lookup(store, X509_LOOKUP_hash_dir());
-    if (lookup == NULL)
-        goto end;
-    if (CApath) {
-        if (!X509_LOOKUP_add_dir(lookup, CApath, X509_FILETYPE_PEM)) {
-            BIO_printf(bio_err, "Error loading directory %s\n", CApath);
+    if(CApath != NULL || !noCApath) {
+        lookup = X509_STORE_add_lookup(store, X509_LOOKUP_hash_dir());
+        if (lookup == NULL)
              goto end;
              goto end;
-        }
-    } else
-        X509_LOOKUP_add_dir(lookup, NULL, X509_FILETYPE_DEFAULT);
+        if (CApath) {
+            if (!X509_LOOKUP_add_dir(lookup, CApath, X509_FILETYPE_PEM)) {
+                BIO_printf(bio_err, "Error loading directory %s\n", CApath);
+                goto end;
+            }
+        } else
+            X509_LOOKUP_add_dir(lookup, NULL, X509_FILETYPE_DEFAULT);
+    }
  
      ERR_clear_error();
      return store;
  
      ERR_clear_error();
      return store;
diff --git a/apps/apps.h b/apps/apps.h

index 2d198a104fa005956e9ffb12d50735f4614ecd16..185ac2422e7c543d013700624c755cd23663d340 100644 (file)
--- a/apps/apps.h
+++ b/apps/apps.h
@@ -442,9 +442,10 @@ STACK_OF(X509) *load_certs(const char *file, int format,
  STACK_OF(X509_CRL) *load_crls(const char *file, int format,
                                const char *pass, ENGINE *e,
                                const char *cert_descrip);
  STACK_OF(X509_CRL) *load_crls(const char *file, int format,
                                const char *pass, ENGINE *e,
                                const char *cert_descrip);
-X509_STORE *setup_verify(char *CAfile, char *CApath);
-int ctx_set_verify_locations(SSL_CTX *ctx,
-                             const char *CAfile, const char *CApath);
+X509_STORE *setup_verify(char *CAfile, char *CApath,
+                         int noCAfile, int noCApath);
+int ctx_set_verify_locations(SSL_CTX *ctx, const char *CAfile,
+                             const char *CApath, int noCAfile, int noCApath);
  # ifdef OPENSSL_NO_ENGINE
  #  define setup_engine(engine, debug) NULL
  # else
  # ifdef OPENSSL_NO_ENGINE
  #  define setup_engine(engine, debug) NULL
  # else
diff --git a/apps/cms.c b/apps/cms.c

index ae47341532e2064e216ec52572757f4032587012..6ed9338685c0f8739130b8783ba8e09c0a53ab83 100644 (file)
--- a/apps/cms.c
+++ b/apps/cms.c
@@ -118,9 +118,9 @@ typedef enum OPTION_choice {
      OPT_NOSIGS, OPT_NO_CONTENT_VERIFY, OPT_NO_ATTR_VERIFY, OPT_INDEF,
      OPT_NOINDEF, OPT_NOOLDMIME, OPT_CRLFEOL, OPT_NOOUT, OPT_RR_PRINT,
      OPT_RR_ALL, OPT_RR_FIRST, OPT_RCTFORM, OPT_CERTFILE, OPT_CAFILE,
      OPT_NOSIGS, OPT_NO_CONTENT_VERIFY, OPT_NO_ATTR_VERIFY, OPT_INDEF,
      OPT_NOINDEF, OPT_NOOLDMIME, OPT_CRLFEOL, OPT_NOOUT, OPT_RR_PRINT,
      OPT_RR_ALL, OPT_RR_FIRST, OPT_RCTFORM, OPT_CERTFILE, OPT_CAFILE,
-    OPT_CAPATH, OPT_CONTENT, OPT_PRINT, OPT_SECRETKEY,
-    OPT_SECRETKEYID, OPT_PWRI_PASSWORD, OPT_ECONTENT_TYPE, OPT_RAND,
-    OPT_PASSIN, OPT_TO, OPT_FROM, OPT_SUBJECT, OPT_SIGNER, OPT_RECIP,
+    OPT_CAPATH, OPT_NOCAPATH, OPT_NOCAFILE,OPT_CONTENT, OPT_PRINT,
+    OPT_SECRETKEY, OPT_SECRETKEYID, OPT_PWRI_PASSWORD, OPT_ECONTENT_TYPE,
+    OPT_RAND, OPT_PASSIN, OPT_TO, OPT_FROM, OPT_SUBJECT, OPT_SIGNER, OPT_RECIP,
      OPT_CERTSOUT, OPT_MD, OPT_INKEY, OPT_KEYFORM, OPT_KEYOPT, OPT_RR_FROM,
      OPT_RR_TO, OPT_AES128_WRAP, OPT_AES192_WRAP, OPT_AES256_WRAP,
      OPT_3DES_WRAP, OPT_ENGINE,
      OPT_CERTSOUT, OPT_MD, OPT_INKEY, OPT_KEYFORM, OPT_KEYOPT, OPT_RR_FROM,
      OPT_RR_TO, OPT_AES128_WRAP, OPT_AES192_WRAP, OPT_AES256_WRAP,
      OPT_3DES_WRAP, OPT_ENGINE,
@@ -185,6 +185,10 @@ OPTIONS cms_options[] = {
      {"certfile", OPT_CERTFILE, '<', "Other certificates file"},
      {"CAfile", OPT_CAFILE, '<', "Trusted certificates file"},
      {"CApath", OPT_CAPATH, '/', "trusted certificates directory"},
      {"certfile", OPT_CERTFILE, '<', "Other certificates file"},
      {"CAfile", OPT_CAFILE, '<', "Trusted certificates file"},
      {"CApath", OPT_CAPATH, '/', "trusted certificates directory"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"content", OPT_CONTENT, '<',
       "Supply or override content for detached signature"},
      {"print", OPT_PRINT, '-'},
      {"content", OPT_CONTENT, '<',
       "Supply or override content for detached signature"},
      {"print", OPT_PRINT, '-'},
@@ -242,6 +246,7 @@ int cms_main(int argc, char **argv)
      X509_VERIFY_PARAM *vpm = NULL;
      char *certfile = NULL, *keyfile = NULL, *contfile = NULL;
      char *CAfile = NULL, *CApath = NULL, *certsoutfile = NULL;
      X509_VERIFY_PARAM *vpm = NULL;
      char *certfile = NULL, *keyfile = NULL, *contfile = NULL;
      char *CAfile = NULL, *CApath = NULL, *certsoutfile = NULL;
+    int noCAfile = 0, noCApath = 0;
      char *infile = NULL, *outfile = NULL, *rctfile = NULL, *inrand = NULL;
      char *passinarg = NULL, *passin = NULL, *signerfile = NULL, *recipfile =
          NULL;
      char *infile = NULL, *outfile = NULL, *rctfile = NULL, *inrand = NULL;
      char *passinarg = NULL, *passin = NULL, *signerfile = NULL, *recipfile =
          NULL;
@@ -422,6 +427,12 @@ int cms_main(int argc, char **argv)
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
          case OPT_IN:
              infile = opt_arg();
              break;
          case OPT_IN:
              infile = opt_arg();
              break;
@@ -834,7 +845,7 @@ int cms_main(int argc, char **argv)
          goto end;
  
      if ((operation == SMIME_VERIFY) || (operation == SMIME_VERIFY_RECEIPT)) {
          goto end;
  
      if ((operation == SMIME_VERIFY) || (operation == SMIME_VERIFY_RECEIPT)) {
-        if ((store = setup_verify(CAfile, CApath)) == NULL)
+        if ((store = setup_verify(CAfile, CApath, noCAfile, noCApath)) == NULL)
              goto end;
          X509_STORE_set_verify_cb(store, cms_cb);
          if (vpmtouched)
              goto end;
          X509_STORE_set_verify_cb(store, cms_cb);
          if (vpmtouched)
diff --git a/apps/crl.c b/apps/crl.c

index 735c8c014fcf095d3cea476cf5570a33d95331ab..253f7a5b75c7bf7e709205ae2923a849583bd1f1 100644 (file)
--- a/apps/crl.c
+++ b/apps/crl.c
@@ -70,8 +70,8 @@ typedef enum OPTION_choice {
      OPT_INFORM, OPT_IN, OPT_OUTFORM, OPT_OUT, OPT_KEYFORM, OPT_KEY,
      OPT_ISSUER, OPT_LASTUPDATE, OPT_NEXTUPDATE, OPT_FINGERPRINT,
      OPT_CRLNUMBER, OPT_BADSIG, OPT_GENDELTA, OPT_CAPATH, OPT_CAFILE,
      OPT_INFORM, OPT_IN, OPT_OUTFORM, OPT_OUT, OPT_KEYFORM, OPT_KEY,
      OPT_ISSUER, OPT_LASTUPDATE, OPT_NEXTUPDATE, OPT_FINGERPRINT,
      OPT_CRLNUMBER, OPT_BADSIG, OPT_GENDELTA, OPT_CAPATH, OPT_CAFILE,
-    OPT_VERIFY, OPT_TEXT, OPT_HASH, OPT_HASH_OLD, OPT_NOOUT,
-    OPT_NAMEOPT, OPT_MD
+    OPT_NOCAPATH, OPT_NOCAFILE, OPT_VERIFY, OPT_TEXT, OPT_HASH, OPT_HASH_OLD,
+    OPT_NOOUT, OPT_NAMEOPT, OPT_MD
  } OPTION_CHOICE;
  
  OPTIONS crl_options[] = {
  } OPTION_CHOICE;
  
  OPTIONS crl_options[] = {
@@ -92,6 +92,10 @@ OPTIONS crl_options[] = {
      {"gendelta", OPT_GENDELTA, '<'},
      {"CApath", OPT_CAPATH, '/', "Verify CRL using certificates in dir"},
      {"CAfile", OPT_CAFILE, '<', "Verify CRL using certificates in file name"},
      {"gendelta", OPT_GENDELTA, '<'},
      {"CApath", OPT_CAPATH, '/', "Verify CRL using certificates in dir"},
      {"CAfile", OPT_CAFILE, '<', "Verify CRL using certificates in file name"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"verify", OPT_VERIFY, '-'},
      {"text", OPT_TEXT, '-', "Print out a text format version"},
      {"hash", OPT_HASH, '-', "Print hash value"},
      {"verify", OPT_VERIFY, '-'},
      {"text", OPT_TEXT, '-', "Print out a text format version"},
      {"hash", OPT_HASH, '-', "Print hash value"},
@@ -121,7 +125,7 @@ int crl_main(int argc, char **argv)
      int hash = 0, issuer = 0, lastupdate = 0, nextupdate = 0, noout = 0;
      int informat = FORMAT_PEM, outformat = FORMAT_PEM, keyformat = FORMAT_PEM;
      int ret = 1, num = 0, badsig = 0, fingerprint = 0, crlnumber = 0;
      int hash = 0, issuer = 0, lastupdate = 0, nextupdate = 0, noout = 0;
      int informat = FORMAT_PEM, outformat = FORMAT_PEM, keyformat = FORMAT_PEM;
      int ret = 1, num = 0, badsig = 0, fingerprint = 0, crlnumber = 0;
-    int text = 0, do_ver = 0;
+    int text = 0, do_ver = 0, noCAfile = 0, noCApath = 0;
      int i;
  #ifndef OPENSSL_NO_MD5
      int hash_old = 0;
      int i;
  #ifndef OPENSSL_NO_MD5
      int hash_old = 0;
@@ -171,6 +175,12 @@ int crl_main(int argc, char **argv)
              CAfile = opt_arg();
              do_ver = 1;
              break;
              CAfile = opt_arg();
              do_ver = 1;
              break;
+        case OPT_NOCAPATH:
+            noCApath =  1;
+            break;
+        case OPT_NOCAFILE:
+            noCAfile =  1;
+            break;
          case OPT_HASH_OLD:
  #ifndef OPENSSL_NO_MD5
              hash_old = ++num;
          case OPT_HASH_OLD:
  #ifndef OPENSSL_NO_MD5
              hash_old = ++num;
@@ -230,7 +240,7 @@ int crl_main(int argc, char **argv)
          goto end;
  
      if (do_ver) {
          goto end;
  
      if (do_ver) {
-        if ((store = setup_verify(CAfile, CApath)) == NULL)
+        if ((store = setup_verify(CAfile, CApath, noCAfile, noCApath)) == NULL)
              goto end;
          lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file());
          if (lookup == NULL)
              goto end;
          lookup = X509_STORE_add_lookup(store, X509_LOOKUP_file());
          if (lookup == NULL)
diff --git a/apps/ocsp.c b/apps/ocsp.c

index e97d06e7c10bd8f21769696b9a5b1c597f57b092..960b77681afad82ff366e2ded01553f850bbb75d 100644 (file)
--- a/apps/ocsp.c
+++ b/apps/ocsp.c
@@ -131,7 +131,7 @@ typedef enum OPTION_choice {
      OPT_NO_CERT_CHECKS, OPT_NO_EXPLICIT, OPT_TRUST_OTHER,
      OPT_NO_INTERN, OPT_BADSIG, OPT_TEXT, OPT_REQ_TEXT, OPT_RESP_TEXT,
      OPT_REQIN, OPT_RESPIN, OPT_SIGNER, OPT_VAFILE, OPT_SIGN_OTHER,
      OPT_NO_CERT_CHECKS, OPT_NO_EXPLICIT, OPT_TRUST_OTHER,
      OPT_NO_INTERN, OPT_BADSIG, OPT_TEXT, OPT_REQ_TEXT, OPT_RESP_TEXT,
      OPT_REQIN, OPT_RESPIN, OPT_SIGNER, OPT_VAFILE, OPT_SIGN_OTHER,
-    OPT_VERIFY_OTHER, OPT_CAFILE, OPT_CAPATH,
+    OPT_VERIFY_OTHER, OPT_CAFILE, OPT_CAPATH, OPT_NOCAFILE, OPT_NOCAPATH,
      OPT_VALIDITY_PERIOD, OPT_STATUS_AGE, OPT_SIGNKEY, OPT_REQOUT,
      OPT_RESPOUT, OPT_PATH, OPT_ISSUER, OPT_CERT, OPT_SERIAL,
      OPT_INDEX, OPT_CA, OPT_NMIN, OPT_REQUEST, OPT_NDAYS, OPT_RSIGNER,
      OPT_VALIDITY_PERIOD, OPT_STATUS_AGE, OPT_SIGNKEY, OPT_REQOUT,
      OPT_RESPOUT, OPT_PATH, OPT_ISSUER, OPT_CERT, OPT_SERIAL,
      OPT_INDEX, OPT_CA, OPT_NMIN, OPT_REQUEST, OPT_NDAYS, OPT_RSIGNER,
@@ -183,6 +183,10 @@ OPTIONS ocsp_options[] = {
       "Additional certificates to search for signer"},
      {"CAfile", OPT_CAFILE, '<', "Trusted certificates file"},
      {"CApath", OPT_CAPATH, '<', "Trusted certificates directory"},
       "Additional certificates to search for signer"},
      {"CAfile", OPT_CAFILE, '<', "Trusted certificates file"},
      {"CApath", OPT_CAPATH, '<', "Trusted certificates directory"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"validity_period", OPT_VALIDITY_PERIOD, 'u',
       "Maximum validity discrepancy in seconds"},
      {"status_age", OPT_STATUS_AGE, 'p', "Maximum status age in seconds"},
      {"validity_period", OPT_VALIDITY_PERIOD, 'u',
       "Maximum validity discrepancy in seconds"},
      {"status_age", OPT_STATUS_AGE, 'p', "Maximum status age in seconds"},
@@ -236,6 +240,7 @@ int ocsp_main(int argc, char **argv)
      char *sign_certfile = NULL, *verify_certfile = NULL, *rcertfile = NULL;
      char *signfile = NULL, *keyfile = NULL;
      char *thost = NULL, *tport = NULL, *tpath = NULL;
      char *sign_certfile = NULL, *verify_certfile = NULL, *rcertfile = NULL;
      char *signfile = NULL, *keyfile = NULL;
      char *thost = NULL, *tport = NULL, *tpath = NULL;
+    int noCAfile = 0, noCApath = 0;
      int accept_count = -1, add_nonce = 1, noverify = 0, use_ssl = -1;
      int vpmtouched = 0, badsig = 0, i, ignore_err = 0, nmin = 0, ndays = -1;
      int req_text = 0, resp_text = 0, req_timeout = -1, ret = 1;
      int accept_count = -1, add_nonce = 1, noverify = 0, use_ssl = -1;
      int vpmtouched = 0, badsig = 0, i, ignore_err = 0, nmin = 0, ndays = -1;
      int req_text = 0, resp_text = 0, req_timeout = -1, ret = 1;
@@ -369,6 +374,12 @@ int ocsp_main(int argc, char **argv)
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
          case OPT_V_CASES:
              if (!opt_verify(o, vpm))
                  goto end;
          case OPT_V_CASES:
              if (!opt_verify(o, vpm))
                  goto end;
@@ -685,7 +696,7 @@ int ocsp_main(int argc, char **argv)
      }
  
      if (!store) {
      }
  
      if (!store) {
-        store = setup_verify(CAfile, CApath);
+        store = setup_verify(CAfile, CApath, noCAfile, noCApath);
          if (!store)
              goto end;
      }
          if (!store)
              goto end;
      }
diff --git a/apps/pkcs12.c b/apps/pkcs12.c

index 2e74cd4baeba904436812fb5ba206874dd466bb9..e1f663a058adcaabf9d4b81d30ab742817e19fe7 100644 (file)
--- a/apps/pkcs12.c
+++ b/apps/pkcs12.c
@@ -98,7 +98,7 @@ typedef enum OPTION_choice {
      OPT_NOMAC, OPT_LMK, OPT_NODES, OPT_MACALG, OPT_CERTPBE, OPT_KEYPBE,
      OPT_RAND, OPT_INKEY, OPT_CERTFILE, OPT_NAME, OPT_CSP, OPT_CANAME,
      OPT_IN, OPT_OUT, OPT_PASSIN, OPT_PASSOUT, OPT_PASSWORD, OPT_CAPATH,
      OPT_NOMAC, OPT_LMK, OPT_NODES, OPT_MACALG, OPT_CERTPBE, OPT_KEYPBE,
      OPT_RAND, OPT_INKEY, OPT_CERTFILE, OPT_NAME, OPT_CSP, OPT_CANAME,
      OPT_IN, OPT_OUT, OPT_PASSIN, OPT_PASSOUT, OPT_PASSWORD, OPT_CAPATH,
-    OPT_CAFILE, OPT_ENGINE
+    OPT_CAFILE, OPT_NOCAPATH, OPT_NOCAFILE, OPT_ENGINE
  } OPTION_CHOICE;
  
  OPTIONS pkcs12_options[] = {
  } OPTION_CHOICE;
  
  OPTIONS pkcs12_options[] = {
@@ -149,6 +149,10 @@ OPTIONS pkcs12_options[] = {
      {"password", OPT_PASSWORD, 's', "Set import/export password source"},
      {"CApath", OPT_CAPATH, '/', "PEM-format directory of CA's"},
      {"CAfile", OPT_CAFILE, '<', "PEM-format file of CA's"},
      {"password", OPT_PASSWORD, 's', "Set import/export password source"},
      {"CApath", OPT_CAPATH, '/', "PEM-format directory of CA's"},
      {"CAfile", OPT_CAFILE, '<', "PEM-format file of CA's"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"", OPT_CIPHER, '-', "Any supported cipher"},
  # ifndef OPENSSL_NO_ENGINE
      {"engine", OPT_ENGINE, 's', "Use engine, possibly a hardware device"},
      {"", OPT_CIPHER, '-', "Any supported cipher"},
  # ifndef OPENSSL_NO_ENGINE
      {"engine", OPT_ENGINE, 's', "Use engine, possibly a hardware device"},
@@ -174,6 +178,7 @@ int pkcs12_main(int argc, char **argv)
      char *passin = NULL, *passout = NULL, *inrand = NULL, *macalg = NULL;
      char *cpass = NULL, *mpass = NULL, *CApath = NULL, *CAfile = NULL;
      char *prog;
      char *passin = NULL, *passout = NULL, *inrand = NULL, *macalg = NULL;
      char *cpass = NULL, *mpass = NULL, *CApath = NULL, *CAfile = NULL;
      char *prog;
+    int noCApath = 0, noCAfile = 0;
      ENGINE *e = NULL;
      BIO *in = NULL, *out = NULL;
      PKCS12 *p12 = NULL;
      ENGINE *e = NULL;
      BIO *in = NULL, *out = NULL;
      PKCS12 *p12 = NULL;
@@ -307,6 +312,12 @@ int pkcs12_main(int argc, char **argv)
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
          case OPT_ENGINE:
              e = setup_engine(opt_arg(), 0);
              break;
          case OPT_ENGINE:
              e = setup_engine(opt_arg(), 0);
              break;
@@ -430,7 +441,8 @@ int pkcs12_main(int argc, char **argv)
              int vret;
              STACK_OF(X509) *chain2;
              X509_STORE *store;
              int vret;
              STACK_OF(X509) *chain2;
              X509_STORE *store;
-            if ((store = setup_verify(CAfile, CApath)) == NULL)
+            if ((store = setup_verify(CAfile, CApath, noCAfile, noCApath))
+                    == NULL)
                  goto export_end;
  
              vret = get_cert_chain(ucert, store, &chain2);
                  goto export_end;
  
              vret = get_cert_chain(ucert, store, &chain2);
diff --git a/apps/s_client.c b/apps/s_client.c

index 65e3bb89d5ae32c3ad3b96c5c3abf6e599d72e33..e990a432c9cfeb57d37fdbf460d69d1712437992 100644 (file)
--- a/apps/s_client.c
+++ b/apps/s_client.c
@@ -466,8 +466,8 @@ typedef enum OPTION_choice {
      OPT_SRP_LATEUSER, OPT_SRP_MOREGROUPS, OPT_SSL3,
      OPT_TLS1_2, OPT_TLS1_1, OPT_TLS1, OPT_DTLS, OPT_DTLS1,
      OPT_DTLS1_2, OPT_TIMEOUT, OPT_MTU, OPT_KEYFORM, OPT_PASS,
      OPT_SRP_LATEUSER, OPT_SRP_MOREGROUPS, OPT_SSL3,
      OPT_TLS1_2, OPT_TLS1_1, OPT_TLS1, OPT_DTLS, OPT_DTLS1,
      OPT_DTLS1_2, OPT_TIMEOUT, OPT_MTU, OPT_KEYFORM, OPT_PASS,
-    OPT_CERT_CHAIN, OPT_CAPATH, OPT_CHAINCAPATH, OPT_VERIFYCAPATH,
-    OPT_KEY, OPT_RECONNECT, OPT_BUILD_CHAIN, OPT_CAFILE,
+    OPT_CERT_CHAIN, OPT_CAPATH, OPT_NOCAPATH, OPT_CHAINCAPATH, OPT_VERIFYCAPATH,
+    OPT_KEY, OPT_RECONNECT, OPT_BUILD_CHAIN, OPT_CAFILE, OPT_NOCAFILE,
      OPT_CHAINCAFILE, OPT_VERIFYCAFILE, OPT_NEXTPROTONEG, OPT_ALPN,
      OPT_SERVERINFO, OPT_STARTTLS, OPT_SERVERNAME, OPT_JPAKE,
      OPT_USE_SRTP, OPT_KEYMATEXPORT, OPT_KEYMATEXPORTLEN, OPT_SMTPHOST,
      OPT_CHAINCAFILE, OPT_VERIFYCAFILE, OPT_NEXTPROTONEG, OPT_ALPN,
      OPT_SERVERINFO, OPT_STARTTLS, OPT_SERVERNAME, OPT_JPAKE,
      OPT_USE_SRTP, OPT_KEYMATEXPORT, OPT_KEYMATEXPORTLEN, OPT_SMTPHOST,
@@ -495,6 +495,10 @@ OPTIONS s_client_options[] = {
      {"pass", OPT_PASS, 's', "Private key file pass phrase source"},
      {"CApath", OPT_CAPATH, '/', "PEM format directory of CA's"},
      {"CAfile", OPT_CAFILE, '<', "PEM format file of CA's"},
      {"pass", OPT_PASS, 's', "Private key file pass phrase source"},
      {"CApath", OPT_CAPATH, '/', "PEM format directory of CA's"},
      {"CAfile", OPT_CAFILE, '<', "PEM format file of CA's"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"reconnect", OPT_RECONNECT, '-',
       "Drop and re-make the connection with the same Session-ID"},
      {"pause", OPT_PAUSE, '-', "Sleep  after each read and write system call"},
      {"reconnect", OPT_RECONNECT, '-',
       "Drop and re-make the connection with the same Session-ID"},
      {"pause", OPT_PAUSE, '-', "Sleep  after each read and write system call"},
@@ -651,6 +655,7 @@ int s_client_main(int argc, char **argv)
      struct sockaddr peer;
      struct timeval timeout, *timeoutp;
      fd_set readfds, writefds;
      struct sockaddr peer;
      struct timeval timeout, *timeoutp;
      fd_set readfds, writefds;
+    int noCApath = 0, noCAfile = 0;
      int build_chain = 0, cbuf_len, cbuf_off, cert_format = FORMAT_PEM;
      int key_format = FORMAT_PEM, crlf = 0, full_log = 1, mbuf_len = 0;
      int prexit = 0;
      int build_chain = 0, cbuf_len, cbuf_off, cert_format = FORMAT_PEM;
      int key_format = FORMAT_PEM, crlf = 0, full_log = 1, mbuf_len = 0;
      int prexit = 0;
@@ -991,6 +996,9 @@ int s_client_main(int argc, char **argv)
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
          case OPT_CHAINCAPATH:
              chCApath = opt_arg();
              break;
          case OPT_CHAINCAPATH:
              chCApath = opt_arg();
              break;
@@ -1003,6 +1011,9 @@ int s_client_main(int argc, char **argv)
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
          case OPT_CHAINCAFILE:
              chCAfile = opt_arg();
              break;
          case OPT_CHAINCAFILE:
              chCAfile = opt_arg();
              break;
@@ -1267,7 +1278,7 @@ int s_client_main(int argc, char **argv)
  
      SSL_CTX_set_verify(ctx, verify, verify_callback);
  
  
      SSL_CTX_set_verify(ctx, verify, verify_callback);
  
-    if (!ctx_set_verify_locations(ctx, CAfile, CApath)) {
+    if (!ctx_set_verify_locations(ctx, CAfile, CApath, noCAfile, noCApath)) {
          ERR_print_errors(bio_err);
          goto end;
      }
          ERR_print_errors(bio_err);
          goto end;
      }
diff --git a/apps/s_server.c b/apps/s_server.c

index ec739645f1a8b2deda8842ea88a35e154017ea66..9ce1416247f8724ace603edc547ccce14871422b 100644 (file)
--- a/apps/s_server.c
+++ b/apps/s_server.c
@@ -796,14 +796,14 @@ typedef enum OPTION_choice {
      OPT_CRL_DOWNLOAD, OPT_SERVERINFO, OPT_CERTFORM, OPT_KEY, OPT_KEYFORM,
      OPT_PASS, OPT_CERT_CHAIN, OPT_DHPARAM, OPT_DCERTFORM, OPT_DCERT,
      OPT_DKEYFORM, OPT_DPASS, OPT_DKEY, OPT_DCERT_CHAIN, OPT_NOCERT,
      OPT_CRL_DOWNLOAD, OPT_SERVERINFO, OPT_CERTFORM, OPT_KEY, OPT_KEYFORM,
      OPT_PASS, OPT_CERT_CHAIN, OPT_DHPARAM, OPT_DCERTFORM, OPT_DCERT,
      OPT_DKEYFORM, OPT_DPASS, OPT_DKEY, OPT_DCERT_CHAIN, OPT_NOCERT,
-    OPT_CAPATH, OPT_CHAINCAPATH, OPT_VERIFYCAPATH, OPT_NO_CACHE,
+    OPT_CAPATH, OPT_NOCAPATH, OPT_CHAINCAPATH, OPT_VERIFYCAPATH, OPT_NO_CACHE,
      OPT_EXT_CACHE, OPT_CRLFORM, OPT_VERIFY_RET_ERROR, OPT_VERIFY_QUIET,
      OPT_EXT_CACHE, OPT_CRLFORM, OPT_VERIFY_RET_ERROR, OPT_VERIFY_QUIET,
-    OPT_BUILD_CHAIN, OPT_CAFILE, OPT_CHAINCAFILE, OPT_VERIFYCAFILE,
-    OPT_NBIO, OPT_NBIO_TEST, OPT_IGN_EOF, OPT_NO_IGN_EOF, OPT_DEBUG,
-    OPT_TLSEXTDEBUG, OPT_STATUS, OPT_STATUS_VERBOSE, OPT_STATUS_TIMEOUT,
-    OPT_STATUS_URL, OPT_MSG, OPT_MSGFILE, OPT_TRACE, OPT_SECURITY_DEBUG,
-    OPT_SECURITY_DEBUG_VERBOSE, OPT_STATE, OPT_CRLF, OPT_QUIET,
-    OPT_BRIEF, OPT_NO_TMP_RSA, OPT_NO_DHE, OPT_NO_ECDHE,
+    OPT_BUILD_CHAIN, OPT_CAFILE, OPT_NOCAFILE, OPT_CHAINCAFILE,
+    OPT_VERIFYCAFILE, OPT_NBIO, OPT_NBIO_TEST, OPT_IGN_EOF, OPT_NO_IGN_EOF,
+    OPT_DEBUG, OPT_TLSEXTDEBUG, OPT_STATUS, OPT_STATUS_VERBOSE,
+    OPT_STATUS_TIMEOUT, OPT_STATUS_URL, OPT_MSG, OPT_MSGFILE, OPT_TRACE,
+    OPT_SECURITY_DEBUG, OPT_SECURITY_DEBUG_VERBOSE, OPT_STATE, OPT_CRLF,
+    OPT_QUIET, OPT_BRIEF, OPT_NO_TMP_RSA, OPT_NO_DHE, OPT_NO_ECDHE,
      OPT_NO_RESUME_EPHEMERAL, OPT_PSK_HINT, OPT_PSK, OPT_SRPVFILE,
      OPT_SRPUSERSEED, OPT_REV, OPT_WWW, OPT_UPPER_WWW, OPT_HTTP,
      OPT_SSL3,
      OPT_NO_RESUME_EPHEMERAL, OPT_PSK_HINT, OPT_PSK, OPT_SRPVFILE,
      OPT_SRPUSERSEED, OPT_REV, OPT_WWW, OPT_UPPER_WWW, OPT_HTTP,
      OPT_SSL3,
@@ -854,8 +854,12 @@ OPTIONS s_server_options[] = {
      {"msg", OPT_MSG, '-', "Show protocol messages"},
      {"msgfile", OPT_MSGFILE, '>'},
      {"state", OPT_STATE, '-', "Print the SSL states"},
      {"msg", OPT_MSG, '-', "Show protocol messages"},
      {"msgfile", OPT_MSGFILE, '>'},
      {"state", OPT_STATE, '-', "Print the SSL states"},
-    {"CApath", OPT_CAPATH, '/', "PEM format directory of CA's"},
      {"CAfile", OPT_CAFILE, '<', "PEM format file of CA's"},
      {"CAfile", OPT_CAFILE, '<', "PEM format file of CA's"},
+    {"CApath", OPT_CAPATH, '/', "PEM format directory of CA's"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"nocert", OPT_NOCERT, '-', "Don't use any certificates (Anon-DH)"},
      {"quiet", OPT_QUIET, '-', "No server output"},
      {"no_tmp_rsa", OPT_NO_TMP_RSA, '-', "Do not generate a tmp RSA key"},
      {"nocert", OPT_NOCERT, '-', "Don't use any certificates (Anon-DH)"},
      {"quiet", OPT_QUIET, '-', "No server output"},
      {"no_tmp_rsa", OPT_NO_TMP_RSA, '-', "Do not generate a tmp RSA key"},
@@ -996,6 +1000,7 @@ int s_server_main(int argc, char *argv[])
      int no_dhe = 0;
  #endif
      int no_tmp_rsa = 0, no_ecdhe = 0, nocert = 0, ret = 1;
      int no_dhe = 0;
  #endif
      int no_tmp_rsa = 0, no_ecdhe = 0, nocert = 0, ret = 1;
+    int noCApath = 0, noCAfile = 0;
      int s_cert_format = FORMAT_PEM, s_key_format = FORMAT_PEM;
      int s_dcert_format = FORMAT_PEM, s_dkey_format = FORMAT_PEM;
      int rev = 0, naccept = -1, sdebug = 0, socket_type = SOCK_STREAM;
      int s_cert_format = FORMAT_PEM, s_key_format = FORMAT_PEM;
      int s_dcert_format = FORMAT_PEM, s_dkey_format = FORMAT_PEM;
      int rev = 0, naccept = -1, sdebug = 0, socket_type = SOCK_STREAM;
@@ -1158,6 +1163,9 @@ int s_server_main(int argc, char *argv[])
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
          case OPT_CHAINCAPATH:
              chCApath = opt_arg();
              break;
          case OPT_CHAINCAPATH:
              chCApath = opt_arg();
              break;
@@ -1205,6 +1213,9 @@ int s_server_main(int argc, char *argv[])
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
          case OPT_CHAINCAFILE:
              chCAfile = opt_arg();
              break;
          case OPT_CHAINCAFILE:
              chCAfile = opt_arg();
              break;
@@ -1657,7 +1668,7 @@ int s_server_main(int argc, char *argv[])
      }
  #endif
  
      }
  #endif
  
-    if (!ctx_set_verify_locations(ctx, CAfile, CApath)) {
+    if (!ctx_set_verify_locations(ctx, CAfile, CApath, noCAfile, noCApath)) {
          ERR_print_errors(bio_err);
          goto end;
      }
          ERR_print_errors(bio_err);
          goto end;
      }
diff --git a/apps/s_time.c b/apps/s_time.c

index ef95b5ada6bb55b7f5684039e6d10df1d9c7e6d7..91d28c209ca8c7d165dd053d229450ee52213001 100644 (file)
--- a/apps/s_time.c
+++ b/apps/s_time.c
@@ -113,8 +113,8 @@ static SSL *doConnection(SSL *scon, const char *host, SSL_CTX *ctx);
  typedef enum OPTION_choice {
      OPT_ERR = -1, OPT_EOF = 0, OPT_HELP,
      OPT_CONNECT, OPT_CIPHER, OPT_CERT, OPT_KEY, OPT_CAPATH,
  typedef enum OPTION_choice {
      OPT_ERR = -1, OPT_EOF = 0, OPT_HELP,
      OPT_CONNECT, OPT_CIPHER, OPT_CERT, OPT_KEY, OPT_CAPATH,
-    OPT_CAFILE, OPT_NEW, OPT_REUSE, OPT_BUGS, OPT_VERIFY, OPT_TIME,
-    OPT_SSL3,
+    OPT_CAFILE, OPT_NOCAPATH, OPT_NOCAFILE, OPT_NEW, OPT_REUSE, OPT_BUGS,
+    OPT_VERIFY, OPT_TIME, OPT_SSL3,
      OPT_WWW
  } OPTION_CHOICE;
  
      OPT_WWW
  } OPTION_CHOICE;
  
@@ -127,6 +127,10 @@ OPTIONS s_time_options[] = {
      {"key", OPT_KEY, '<', "File with key, PEM; default is -cert file"},
      {"CApath", OPT_CAPATH, '/', "PEM format directory of CA's"},
      {"cafile", OPT_CAFILE, '<', "PEM format file of CA's"},
      {"key", OPT_KEY, '<', "File with key, PEM; default is -cert file"},
      {"CApath", OPT_CAPATH, '/', "PEM format directory of CA's"},
      {"cafile", OPT_CAFILE, '<', "PEM format file of CA's"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"new", OPT_NEW, '-', "Just time new connections"},
      {"reuse", OPT_REUSE, '-', "Just time connection reuse"},
      {"bugs", OPT_BUGS, '-', "Turn on SSL bug compatibility"},
      {"new", OPT_NEW, '-', "Just time new connections"},
      {"reuse", OPT_REUSE, '-', "Just time connection reuse"},
      {"bugs", OPT_BUGS, '-', "Turn on SSL bug compatibility"},
@@ -157,6 +161,7 @@ int s_time_main(int argc, char **argv)
      char *CApath = NULL, *CAfile = NULL, *cipher = NULL, *www_path = NULL;
      char *host = SSL_CONNECT_NAME, *certfile = NULL, *keyfile = NULL, *prog;
      double totalTime = 0.0;
      char *CApath = NULL, *CAfile = NULL, *cipher = NULL, *www_path = NULL;
      char *host = SSL_CONNECT_NAME, *certfile = NULL, *keyfile = NULL, *prog;
      double totalTime = 0.0;
+    int noCApath = 0, noCAfile = 0;
      int maxtime = SECONDS, nConn = 0, perform = 3, ret = 1, i, st_bugs =
          0, ver;
      long bytes_read = 0, finishtime = 0;
      int maxtime = SECONDS, nConn = 0, perform = 3, ret = 1, i, st_bugs =
          0, ver;
      long bytes_read = 0, finishtime = 0;
@@ -208,6 +213,12 @@ int s_time_main(int argc, char **argv)
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
          case OPT_CIPHER:
              cipher = opt_arg();
              break;
          case OPT_CIPHER:
              cipher = opt_arg();
              break;
@@ -254,7 +265,7 @@ int s_time_main(int argc, char **argv)
      if (!set_cert_stuff(ctx, certfile, keyfile))
          goto end;
  
      if (!set_cert_stuff(ctx, certfile, keyfile))
          goto end;
  
-    if (!ctx_set_verify_locations(ctx, CAfile, CApath)) {
+    if (!ctx_set_verify_locations(ctx, CAfile, CApath, noCAfile, noCApath)) {
          ERR_print_errors(bio_err);
          goto end;
      }
          ERR_print_errors(bio_err);
          goto end;
      }
diff --git a/apps/smime.c b/apps/smime.c

index 4da56cdf08cccddb1e940231b1c26d788eefe5eb..db645d0e16848291bc8e65d016cf0630a7328c6e 100644 (file)
--- a/apps/smime.c
+++ b/apps/smime.c
@@ -90,7 +90,8 @@ typedef enum OPTION_choice {
      OPT_TO, OPT_FROM, OPT_SUBJECT, OPT_SIGNER, OPT_RECIP, OPT_MD,
      OPT_CIPHER, OPT_INKEY, OPT_KEYFORM, OPT_CERTFILE, OPT_CAFILE,
      OPT_V_ENUM,
      OPT_TO, OPT_FROM, OPT_SUBJECT, OPT_SIGNER, OPT_RECIP, OPT_MD,
      OPT_CIPHER, OPT_INKEY, OPT_KEYFORM, OPT_CERTFILE, OPT_CAFILE,
      OPT_V_ENUM,
-    OPT_CAPATH, OPT_IN, OPT_INFORM, OPT_OUT, OPT_OUTFORM, OPT_CONTENT
+    OPT_CAPATH, OPT_NOCAFILE, OPT_NOCAPATH, OPT_IN, OPT_INFORM, OPT_OUT,
+    OPT_OUTFORM, OPT_CONTENT
  } OPTION_CHOICE;
  
  OPTIONS smime_options[] = {
  } OPTION_CHOICE;
  
  OPTIONS smime_options[] = {
@@ -132,6 +133,10 @@ OPTIONS smime_options[] = {
      {"text", OPT_TEXT, '-', "Include or delete text MIME headers"},
      {"CApath", OPT_CAPATH, '/', "Trusted certificates directory"},
      {"CAfile", OPT_CAFILE, '<', "Trusted certificates file"},
      {"text", OPT_TEXT, '-', "Include or delete text MIME headers"},
      {"CApath", OPT_CAPATH, '/', "Trusted certificates directory"},
      {"CAfile", OPT_CAFILE, '<', "Trusted certificates file"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"resign", OPT_RESIGN, '-'},
      {"nochain", OPT_NOCHAIN, '-'},
      {"nosmimecap", OPT_NOSMIMECAP, '-'},
      {"resign", OPT_RESIGN, '-'},
      {"nochain", OPT_NOCHAIN, '-'},
      {"nosmimecap", OPT_NOSMIMECAP, '-'},
@@ -171,6 +176,7 @@ int smime_main(int argc, char **argv)
      char *passinarg = NULL, *passin = NULL, *to = NULL, *from =
          NULL, *subject = NULL;
      OPTION_CHOICE o;
      char *passinarg = NULL, *passin = NULL, *to = NULL, *from =
          NULL, *subject = NULL;
      OPTION_CHOICE o;
+    int noCApath = 0, noCAfile = 0;
      int flags = PKCS7_DETACHED, operation = 0, ret = 0, need_rand = 0, indef =
          0;
      int informat = FORMAT_SMIME, outformat = FORMAT_SMIME, keyform =
      int flags = PKCS7_DETACHED, operation = 0, ret = 0, need_rand = 0, indef =
          0;
      int informat = FORMAT_SMIME, outformat = FORMAT_SMIME, keyform =
@@ -348,6 +354,12 @@ int smime_main(int argc, char **argv)
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
          case OPT_CAPATH:
              CApath = opt_arg();
              break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
          case OPT_CONTENT:
              contfile = opt_arg();
              break;
          case OPT_CONTENT:
              contfile = opt_arg();
              break;
@@ -523,7 +535,7 @@ int smime_main(int argc, char **argv)
          goto end;
  
      if (operation == SMIME_VERIFY) {
          goto end;
  
      if (operation == SMIME_VERIFY) {
-        if ((store = setup_verify(CAfile, CApath)) == NULL)
+        if ((store = setup_verify(CAfile, CApath, noCAfile, noCApath)) == NULL)
              goto end;
          X509_STORE_set_verify_cb(store, smime_cb);
          if (vpmtouched)
              goto end;
          X509_STORE_set_verify_cb(store, smime_cb);
          if (vpmtouched)
diff --git a/apps/verify.c b/apps/verify.c

index ce0ad249f2c84879d5f9928b40988acbcf29ce4f..61f8cf7579415761c861d3887a7d151bc52720d4 100644 (file)
--- a/apps/verify.c
+++ b/apps/verify.c
@@ -73,8 +73,8 @@ static int v_verbose = 0, vflags = 0;
  
  typedef enum OPTION_choice {
      OPT_ERR = -1, OPT_EOF = 0, OPT_HELP,
  
  typedef enum OPTION_choice {
      OPT_ERR = -1, OPT_EOF = 0, OPT_HELP,
-    OPT_ENGINE, OPT_CAPATH, OPT_CAFILE, OPT_UNTRUSTED, OPT_TRUSTED,
-    OPT_CRLFILE, OPT_CRL_DOWNLOAD, OPT_SHOW_CHAIN,
+    OPT_ENGINE, OPT_CAPATH, OPT_CAFILE, OPT_NOCAPATH, OPT_NOCAFILE,
+    OPT_UNTRUSTED, OPT_TRUSTED, OPT_CRLFILE, OPT_CRL_DOWNLOAD, OPT_SHOW_CHAIN,
      OPT_V_ENUM,
      OPT_VERBOSE
  } OPTION_CHOICE;
      OPT_V_ENUM,
      OPT_VERBOSE
  } OPTION_CHOICE;
@@ -87,6 +87,10 @@ OPTIONS verify_options[] = {
          "Print extra information about the operations being performed."},
      {"CApath", OPT_CAPATH, '/', "A directory of trusted certificates"},
      {"CAfile", OPT_CAFILE, '<', "A file of trusted certificates"},
          "Print extra information about the operations being performed."},
      {"CApath", OPT_CAPATH, '/', "A directory of trusted certificates"},
      {"CAfile", OPT_CAFILE, '<', "A file of trusted certificates"},
+    {"no-CAfile", OPT_NOCAFILE, '-',
+     "Do not load the default certificates file"},
+    {"no-CApath", OPT_NOCAPATH, '-',
+     "Do not load certificates from the default certificates directory"},
      {"untrusted", OPT_UNTRUSTED, '<', "A file of untrusted certificates"},
      {"trusted", OPT_TRUSTED, '<', "A file of trusted certificates"},
      {"CRLfile", OPT_CRLFILE, '<',
      {"untrusted", OPT_UNTRUSTED, '<', "A file of untrusted certificates"},
      {"trusted", OPT_TRUSTED, '<', "A file of trusted certificates"},
      {"CRLfile", OPT_CRLFILE, '<',
@@ -110,6 +114,7 @@ int verify_main(int argc, char **argv)
      X509_STORE *store = NULL;
      X509_VERIFY_PARAM *vpm = NULL;
      char *prog, *CApath = NULL, *CAfile = NULL;
      X509_STORE *store = NULL;
      X509_VERIFY_PARAM *vpm = NULL;
      char *prog, *CApath = NULL, *CAfile = NULL;
+    int noCApath = 0, noCAfile = 0;
      char *untfile = NULL, *trustfile = NULL, *crlfile = NULL;
      int vpmtouched = 0, crl_download = 0, show_chain = 0, i = 0, ret = 1;
      OPTION_CHOICE o;
      char *untfile = NULL, *trustfile = NULL, *crlfile = NULL;
      int vpmtouched = 0, crl_download = 0, show_chain = 0, i = 0, ret = 1;
      OPTION_CHOICE o;
@@ -155,6 +160,12 @@ int verify_main(int argc, char **argv)
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
          case OPT_CAFILE:
              CAfile = opt_arg();
              break;
+        case OPT_NOCAPATH:
+            noCApath = 1;
+            break;
+        case OPT_NOCAFILE:
+            noCAfile = 1;
+            break;
          case OPT_UNTRUSTED:
              untfile = opt_arg();
              break;
          case OPT_UNTRUSTED:
              untfile = opt_arg();
              break;
@@ -190,7 +201,7 @@ int verify_main(int argc, char **argv)
      if (!app_load_modules(NULL))
          goto end;
  
      if (!app_load_modules(NULL))
          goto end;
  
-    if ((store = setup_verify(CAfile, CApath)) == NULL)
+    if ((store = setup_verify(CAfile, CApath, noCAfile, noCApath)) == NULL)
          goto end;
      X509_STORE_set_verify_cb(store, cb);
  
          goto end;
      X509_STORE_set_verify_cb(store, cb);
author	Matt Caswell <matt@openssl.org>
	Tue, 22 Sep 2015 15:00:52 +0000 (16:00 +0100)
committer	Matt Caswell <matt@openssl.org>
	Fri, 25 Sep 2015 13:49:59 +0000 (14:49 +0100)
apps/apps.c		patch \| blob \| history
apps/apps.h		patch \| blob \| history
apps/cms.c		patch \| blob \| history
apps/crl.c		patch \| blob \| history
apps/ocsp.c		patch \| blob \| history
apps/pkcs12.c		patch \| blob \| history
apps/s_client.c		patch \| blob \| history
apps/s_server.c		patch \| blob \| history
apps/s_time.c		patch \| blob \| history
apps/smime.c		patch \| blob \| history
apps/verify.c		patch \| blob \| history