Improve CMP documentation regarding use of untrusted certs
authorDr. David von Oheimb <David.von.Oheimb@siemens.com>
Thu, 30 Apr 2020 17:38:58 +0000 (19:38 +0200)
committerDr. David von Oheimb <David.von.Oheimb@siemens.com>
Wed, 13 May 2020 17:42:00 +0000 (19:42 +0200)
Reviewed-by: Matt Caswell <matt@openssl.org>
Reviewed-by: David von Oheimb <david.von.oheimb@siemens.com>
(Merged from https://github.com/openssl/openssl/pull/11470)

apps/cmp.c
doc/man1/openssl-cmp.pod.in
doc/man3/OSSL_CMP_CTX_new.pod

index 24a7fcb..1e4642d 100644 (file)
@@ -619,7 +619,7 @@ const OPTIONS cmp_options[] = {
     {"srv_trusted", OPT_SRV_TRUSTED, 's',
      "Trusted certificates for client authentication"},
     {"srv_untrusted", OPT_SRV_UNTRUSTED, 's',
-     "Intermediate certs for constructing chains for CMP protection by client"},
+     "Intermediate certs that may be useful for verifying CMP protection"},
     {"rsp_cert", OPT_RSP_CERT, 's',
      "Certificate to be returned as mock enrollment result"},
     {"rsp_extracerts", OPT_RSP_EXTRACERTS, 's',
index b746d26..a99391a 100644 (file)
@@ -889,7 +889,7 @@ Trusted certificates for client authentication.
 
 =item B<-srv_untrusted> I<filenames>
 
-Intermediate certs for constructing chains for CMP protection by client.
+Intermediate CA certs that may be useful when verifying client certificates.
 
 =item B<-rsp_cert> I<filename>
 
index 1bc9ef8..b9b8ffb 100644 (file)
@@ -403,13 +403,13 @@ parameter the entry is cleared.
 OSSL_CMP_CTX_get0_trustedStore() returns a pointer to the certificate store
 containing trusted root CA certificates, which may be empty if unset.
 
-OSSL_CMP_CTX_set1_untrusted_certs() takes over a list of certificates containing
-non-trusted intermediate certs used for path construction in authentication
-of the CMP server and potentially others (TLS server, newly enrolled cert).
+OSSL_CMP_CTX_set1_untrusted_certs() sets up a list of non-trusted certificates
+of intermediate CAs that may be useful for path construction when authenticating
+the CMP server and when verifying newly enrolled certificates.
 The reference counts of those certificates handled successfully are increased.
 
 OSSL_CMP_CTX_get0_untrusted_certs(OSSL_CMP_CTX *ctx) returns a pointer to the
-list of untrusted certs, which my be empty if unset.
+list of untrusted certs, which may be empty if unset.
 
 OSSL_CMP_CTX_set1_clCert() sets the client certificate in the given B<ctx>.
 The public key of this B<clCert> must correspond to