Update for OpenSSL-1.0.0c.
[dragonfly.git] / secure / lib / libssl / man / SSL_CTX_set_client_cert_cb.3
1 .\" Automatically generated by Pod::Man 2.23 (Pod::Simple 3.14)
2 .\"
3 .\" Standard preamble:
4 .\" ========================================================================
5 .de Sp \" Vertical space (when we can't use .PP)
6 .if t .sp .5v
7 .if n .sp
8 ..
9 .de Vb \" Begin verbatim text
10 .ft CW
11 .nf
12 .ne \\$1
13 ..
14 .de Ve \" End verbatim text
15 .ft R
16 .fi
17 ..
18 .\" Set up some character translations and predefined strings.  \*(-- will
19 .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
20 .\" double quote, and \*(R" will give a right double quote.  \*(C+ will
21 .\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
22 .\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
23 .\" nothing in troff, for use with C<>.
24 .tr \(*W-
25 .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
26 .ie n \{\
27 .    ds -- \(*W-
28 .    ds PI pi
29 .    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
30 .    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
31 .    ds L" ""
32 .    ds R" ""
33 .    ds C` ""
34 .    ds C' ""
35 'br\}
36 .el\{\
37 .    ds -- \|\(em\|
38 .    ds PI \(*p
39 .    ds L" ``
40 .    ds R" ''
41 'br\}
42 .\"
43 .\" Escape single quotes in literal strings from groff's Unicode transform.
44 .ie \n(.g .ds Aq \(aq
45 .el       .ds Aq '
46 .\"
47 .\" If the F register is turned on, we'll generate index entries on stderr for
48 .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
49 .\" entries marked with X<> in POD.  Of course, you'll have to process the
50 .\" output yourself in some meaningful fashion.
51 .ie \nF \{\
52 .    de IX
53 .    tm Index:\\$1\t\\n%\t"\\$2"
54 ..
55 .    nr % 0
56 .    rr F
57 .\}
58 .el \{\
59 .    de IX
60 ..
61 .\}
62 .\"
63 .\" Accent mark definitions (@(#)ms.acc 1.5 88/02/08 SMI; from UCB 4.2).
64 .\" Fear.  Run.  Save yourself.  No user-serviceable parts.
65 .    \" fudge factors for nroff and troff
66 .if n \{\
67 .    ds #H 0
68 .    ds #V .8m
69 .    ds #F .3m
70 .    ds #[ \f1
71 .    ds #] \fP
72 .\}
73 .if t \{\
74 .    ds #H ((1u-(\\\\n(.fu%2u))*.13m)
75 .    ds #V .6m
76 .    ds #F 0
77 .    ds #[ \&
78 .    ds #] \&
79 .\}
80 .    \" simple accents for nroff and troff
81 .if n \{\
82 .    ds ' \&
83 .    ds ` \&
84 .    ds ^ \&
85 .    ds , \&
86 .    ds ~ ~
87 .    ds /
88 .\}
89 .if t \{\
90 .    ds ' \\k:\h'-(\\n(.wu*8/10-\*(#H)'\'\h"|\\n:u"
91 .    ds ` \\k:\h'-(\\n(.wu*8/10-\*(#H)'\`\h'|\\n:u'
92 .    ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'^\h'|\\n:u'
93 .    ds , \\k:\h'-(\\n(.wu*8/10)',\h'|\\n:u'
94 .    ds ~ \\k:\h'-(\\n(.wu-\*(#H-.1m)'~\h'|\\n:u'
95 .    ds / \\k:\h'-(\\n(.wu*8/10-\*(#H)'\z\(sl\h'|\\n:u'
96 .\}
97 .    \" troff and (daisy-wheel) nroff accents
98 .ds : \\k:\h'-(\\n(.wu*8/10-\*(#H+.1m+\*(#F)'\v'-\*(#V'\z.\h'.2m+\*(#F'.\h'|\\n:u'\v'\*(#V'
99 .ds 8 \h'\*(#H'\(*b\h'-\*(#H'
100 .ds o \\k:\h'-(\\n(.wu+\w'\(de'u-\*(#H)/2u'\v'-.3n'\*(#[\z\(de\v'.3n'\h'|\\n:u'\*(#]
101 .ds d- \h'\*(#H'\(pd\h'-\w'~'u'\v'-.25m'\f2\(hy\fP\v'.25m'\h'-\*(#H'
102 .ds D- D\\k:\h'-\w'D'u'\v'-.11m'\z\(hy\v'.11m'\h'|\\n:u'
103 .ds th \*(#[\v'.3m'\s+1I\s-1\v'-.3m'\h'-(\w'I'u*2/3)'\s-1o\s+1\*(#]
104 .ds Th \*(#[\s+2I\s-2\h'-\w'I'u*3/5'\v'-.3m'o\v'.3m'\*(#]
105 .ds ae a\h'-(\w'a'u*4/10)'e
106 .ds Ae A\h'-(\w'A'u*4/10)'E
107 .    \" corrections for vroff
108 .if v .ds ~ \\k:\h'-(\\n(.wu*9/10-\*(#H)'\s-2\u~\d\s+2\h'|\\n:u'
109 .if v .ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'\v'-.4m'^\v'.4m'\h'|\\n:u'
110 .    \" for low resolution devices (crt and lpr)
111 .if \n(.H>23 .if \n(.V>19 \
112 \{\
113 .    ds : e
114 .    ds 8 ss
115 .    ds o a
116 .    ds d- d\h'-1'\(ga
117 .    ds D- D\h'-1'\(hy
118 .    ds th \o'bp'
119 .    ds Th \o'LP'
120 .    ds ae ae
121 .    ds Ae AE
122 .\}
123 .rm #[ #] #H #V #F C
124 .\" ========================================================================
125 .\"
126 .IX Title "SSL_CTX_set_client_cert_cb 3"
127 .TH SSL_CTX_set_client_cert_cb 3 "2010-12-02" "1.0.0c" "OpenSSL"
128 .\" For nroff, turn off justification.  Always turn off hyphenation; it makes
129 .\" way too many mistakes in technical documents.
130 .if n .ad l
131 .nh
132 .SH "NAME"
133 SSL_CTX_set_client_cert_cb, SSL_CTX_get_client_cert_cb \- handle client certificate callback function
134 .SH "SYNOPSIS"
135 .IX Header "SYNOPSIS"
136 .Vb 1
137 \& #include <openssl/ssl.h>
138 \&
139 \& void SSL_CTX_set_client_cert_cb(SSL_CTX *ctx, int (*client_cert_cb)(SSL *ssl, X509 **x509, EVP_PKEY **pkey));
140 \& int (*SSL_CTX_get_client_cert_cb(SSL_CTX *ctx))(SSL *ssl, X509 **x509, EVP_PKEY **pkey);
141 \& int (*client_cert_cb)(SSL *ssl, X509 **x509, EVP_PKEY **pkey);
142 .Ve
143 .SH "DESCRIPTION"
144 .IX Header "DESCRIPTION"
145 \&\fISSL_CTX_set_client_cert_cb()\fR sets the \fB\f(BIclient_cert_cb()\fB\fR callback, that is
146 called when a client certificate is requested by a server and no certificate
147 was yet set for the \s-1SSL\s0 object.
148 .PP
149 When \fB\f(BIclient_cert_cb()\fB\fR is \s-1NULL\s0, no callback function is used.
150 .PP
151 \&\fISSL_CTX_get_client_cert_cb()\fR returns a pointer to the currently set callback
152 function.
153 .PP
154 \&\fIclient_cert_cb()\fR is the application defined callback. If it wants to
155 set a certificate, a certificate/private key combination must be set
156 using the \fBx509\fR and \fBpkey\fR arguments and \*(L"1\*(R" must be returned. The
157 certificate will be installed into \fBssl\fR, see the \s-1NOTES\s0 and \s-1BUGS\s0 sections.
158 If no certificate should be set, \*(L"0\*(R" has to be returned and no certificate
159 will be sent. A negative return value will suspend the handshake and the
160 handshake function will return immediatly. \fISSL_get_error\fR\|(3)
161 will return \s-1SSL_ERROR_WANT_X509_LOOKUP\s0 to indicate, that the handshake was
162 suspended. The next call to the handshake function will again lead to the call
163 of \fIclient_cert_cb()\fR. It is the job of the \fIclient_cert_cb()\fR to store information
164 about the state of the last call, if required to continue.
165 .SH "NOTES"
166 .IX Header "NOTES"
167 During a handshake (or renegotiation) a server may request a certificate
168 from the client. A client certificate must only be sent, when the server
169 did send the request.
170 .PP
171 When a certificate was set using the
172 \&\fISSL_CTX_use_certificate\fR\|(3) family of functions,
173 it will be sent to the server. The \s-1TLS\s0 standard requires that only a
174 certificate is sent, if it matches the list of acceptable CAs sent by the
175 server. This constraint is violated by the default behavior of the OpenSSL
176 library. Using the callback function it is possible to implement a proper
177 selection routine or to allow a user interaction to choose the certificate to
178 be sent.
179 .PP
180 If a callback function is defined and no certificate was yet defined for the
181 \&\s-1SSL\s0 object, the callback function will be called.
182 If the callback function returns a certificate, the OpenSSL library
183 will try to load the private key and certificate data into the \s-1SSL\s0
184 object using the \fISSL_use_certificate()\fR and \fISSL_use_private_key()\fR functions.
185 Thus it will permanently install the certificate and key for this \s-1SSL\s0
186 object. It will not be reset by calling \fISSL_clear\fR\|(3).
187 If the callback returns no certificate, the OpenSSL library will not send
188 a certificate.
189 .SH "BUGS"
190 .IX Header "BUGS"
191 The \fIclient_cert_cb()\fR cannot return a complete certificate chain, it can
192 only return one client certificate. If the chain only has a length of 2,
193 the root \s-1CA\s0 certificate may be omitted according to the \s-1TLS\s0 standard and
194 thus a standard conforming answer can be sent to the server. For a
195 longer chain, the client must send the complete chain (with the option
196 to leave out the root \s-1CA\s0 certificate). This can only be accomplished by
197 either adding the intermediate \s-1CA\s0 certificates into the trusted
198 certificate store for the \s-1SSL_CTX\s0 object (resulting in having to add
199 \&\s-1CA\s0 certificates that otherwise maybe would not be trusted), or by adding
200 the chain certificates using the
201 \&\fISSL_CTX_add_extra_chain_cert\fR\|(3)
202 function, which is only available for the \s-1SSL_CTX\s0 object as a whole and that
203 therefore probably can only apply for one client certificate, making
204 the concept of the callback function (to allow the choice from several
205 certificates) questionable.
206 .PP
207 Once the \s-1SSL\s0 object has been used in conjunction with the callback function,
208 the certificate will be set for the \s-1SSL\s0 object and will not be cleared
209 even when \fISSL_clear\fR\|(3) is being called. It is therefore
210 mandatory to destroy the \s-1SSL\s0 object using \fISSL_free\fR\|(3)
211 and create a new one to return to the previous state.
212 .SH "SEE ALSO"
213 .IX Header "SEE ALSO"
214 \&\fIssl\fR\|(3), \fISSL_CTX_use_certificate\fR\|(3),
215 \&\fISSL_CTX_add_extra_chain_cert\fR\|(3),
216 \&\fISSL_get_client_CA_list\fR\|(3),
217 \&\fISSL_clear\fR\|(3), \fISSL_free\fR\|(3)