crypto/openssl/crypto/x509v3/v3_cpols.c

   1 /* v3_cpols.c */
   2 /*
   3  * Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL project
   4  * 1999.
   5  */
   6 /* ====================================================================
   7  * Copyright (c) 1999-2004 The OpenSSL Project.  All rights reserved.
   8  *
   9  * Redistribution and use in source and binary forms, with or without
  10  * modification, are permitted provided that the following conditions
  11  * are met:
  12  *
  13  * 1. Redistributions of source code must retain the above copyright
  14  *    notice, this list of conditions and the following disclaimer.
  15  *
  16  * 2. Redistributions in binary form must reproduce the above copyright
  17  *    notice, this list of conditions and the following disclaimer in
  18  *    the documentation and/or other materials provided with the
  19  *    distribution.
  20  *
  21  * 3. All advertising materials mentioning features or use of this
  22  *    software must display the following acknowledgment:
  23  *    "This product includes software developed by the OpenSSL Project
  24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
  25  *
  26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  27  *    endorse or promote products derived from this software without
  28  *    prior written permission. For written permission, please contact
  29  *    licensing@OpenSSL.org.
  30  *
  31  * 5. Products derived from this software may not be called "OpenSSL"
  32  *    nor may "OpenSSL" appear in their names without prior written
  33  *    permission of the OpenSSL Project.
  34  *
  35  * 6. Redistributions of any form whatsoever must retain the following
  36  *    acknowledgment:
  37  *    "This product includes software developed by the OpenSSL Project
  38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
  39  *
  40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  51  * OF THE POSSIBILITY OF SUCH DAMAGE.
  52  * ====================================================================
  53  *
  54  * This product includes cryptographic software written by Eric Young
  55  * (eay@cryptsoft.com).  This product includes software written by Tim
  56  * Hudson (tjh@cryptsoft.com).
  57  *
  58  */
  59
  60 #include <stdio.h>
  61 #include "cryptlib.h"
  62 #include <openssl/conf.h>
  63 #include <openssl/asn1.h>
  64 #include <openssl/asn1t.h>
  65 #include <openssl/x509v3.h>
  66
  67 #include "pcy_int.h"
  68
  69 /* Certificate policies extension support: this one is a bit complex... */
  70
  71 static int i2r_certpol(X509V3_EXT_METHOD *method, STACK_OF(POLICYINFO) *pol,
  72                        BIO *out, int indent);
  73 static STACK_OF(POLICYINFO) *r2i_certpol(X509V3_EXT_METHOD *method,
  74                                          X509V3_CTX *ctx, char *value);
  75 static void print_qualifiers(BIO *out, STACK_OF(POLICYQUALINFO) *quals,
  76                              int indent);
  77 static void print_notice(BIO *out, USERNOTICE *notice, int indent);
  78 static POLICYINFO *policy_section(X509V3_CTX *ctx,
  79                                   STACK_OF(CONF_VALUE) *polstrs, int ia5org);
  80 static POLICYQUALINFO *notice_section(X509V3_CTX *ctx,
  81                                       STACK_OF(CONF_VALUE) *unot, int ia5org);
  82 static int nref_nos(STACK_OF(ASN1_INTEGER) *nnums, STACK_OF(CONF_VALUE) *nos);
  83
  84 const X509V3_EXT_METHOD v3_cpols = {
  85     NID_certificate_policies, 0, ASN1_ITEM_ref(CERTIFICATEPOLICIES),
  86     0, 0, 0, 0,
  87     0, 0,
  88     0, 0,
  89     (X509V3_EXT_I2R)i2r_certpol,
  90     (X509V3_EXT_R2I)r2i_certpol,
  91     NULL
  92 };
  93
  94 ASN1_ITEM_TEMPLATE(CERTIFICATEPOLICIES) =
  95         ASN1_EX_TEMPLATE_TYPE(ASN1_TFLG_SEQUENCE_OF, 0, CERTIFICATEPOLICIES, POLICYINFO)
  96 ASN1_ITEM_TEMPLATE_END(CERTIFICATEPOLICIES)
  97
  98 IMPLEMENT_ASN1_FUNCTIONS(CERTIFICATEPOLICIES)
  99
 100 ASN1_SEQUENCE(POLICYINFO) = {
 101         ASN1_SIMPLE(POLICYINFO, policyid, ASN1_OBJECT),
 102         ASN1_SEQUENCE_OF_OPT(POLICYINFO, qualifiers, POLICYQUALINFO)
 103 } ASN1_SEQUENCE_END(POLICYINFO)
 104
 105 IMPLEMENT_ASN1_FUNCTIONS(POLICYINFO)
 106
 107 ASN1_ADB_TEMPLATE(policydefault) = ASN1_SIMPLE(POLICYQUALINFO, d.other, ASN1_ANY);
 108
 109 ASN1_ADB(POLICYQUALINFO) = {
 110         ADB_ENTRY(NID_id_qt_cps, ASN1_SIMPLE(POLICYQUALINFO, d.cpsuri, ASN1_IA5STRING)),
 111         ADB_ENTRY(NID_id_qt_unotice, ASN1_SIMPLE(POLICYQUALINFO, d.usernotice, USERNOTICE))
 112 } ASN1_ADB_END(POLICYQUALINFO, 0, pqualid, 0, &policydefault_tt, NULL);
 113
 114 ASN1_SEQUENCE(POLICYQUALINFO) = {
 115         ASN1_SIMPLE(POLICYQUALINFO, pqualid, ASN1_OBJECT),
 116         ASN1_ADB_OBJECT(POLICYQUALINFO)
 117 } ASN1_SEQUENCE_END(POLICYQUALINFO)
 118
 119 IMPLEMENT_ASN1_FUNCTIONS(POLICYQUALINFO)
 120
 121 ASN1_SEQUENCE(USERNOTICE) = {
 122         ASN1_OPT(USERNOTICE, noticeref, NOTICEREF),
 123         ASN1_OPT(USERNOTICE, exptext, DISPLAYTEXT)
 124 } ASN1_SEQUENCE_END(USERNOTICE)
 125
 126 IMPLEMENT_ASN1_FUNCTIONS(USERNOTICE)
 127
 128 ASN1_SEQUENCE(NOTICEREF) = {
 129         ASN1_SIMPLE(NOTICEREF, organization, DISPLAYTEXT),
 130         ASN1_SEQUENCE_OF(NOTICEREF, noticenos, ASN1_INTEGER)
 131 } ASN1_SEQUENCE_END(NOTICEREF)
 132
 133 IMPLEMENT_ASN1_FUNCTIONS(NOTICEREF)
 134
 135 static STACK_OF(POLICYINFO) *r2i_certpol(X509V3_EXT_METHOD *method,
 136                                          X509V3_CTX *ctx, char *value)
 137 {
 138     STACK_OF(POLICYINFO) *pols = NULL;
 139     char *pstr;
 140     POLICYINFO *pol;
 141     ASN1_OBJECT *pobj;
 142     STACK_OF(CONF_VALUE) *vals;
 143     CONF_VALUE *cnf;
 144     int i, ia5org;
 145     pols = sk_POLICYINFO_new_null();
 146     if (pols == NULL) {
 147         X509V3err(X509V3_F_R2I_CERTPOL, ERR_R_MALLOC_FAILURE);
 148         return NULL;
 149     }
 150     vals = X509V3_parse_list(value);
 151     if (vals == NULL) {
 152         X509V3err(X509V3_F_R2I_CERTPOL, ERR_R_X509V3_LIB);
 153         goto err;
 154     }
 155     ia5org = 0;
 156     for (i = 0; i < sk_CONF_VALUE_num(vals); i++) {
 157         cnf = sk_CONF_VALUE_value(vals, i);
 158         if (cnf->value || !cnf->name) {
 159             X509V3err(X509V3_F_R2I_CERTPOL,
 160                       X509V3_R_INVALID_POLICY_IDENTIFIER);
 161             X509V3_conf_err(cnf);
 162             goto err;
 163         }
 164         pstr = cnf->name;
 165         if (!strcmp(pstr, "ia5org")) {
 166             ia5org = 1;
 167             continue;
 168         } else if (*pstr == '@') {
 169             STACK_OF(CONF_VALUE) *polsect;
 170             polsect = X509V3_get_section(ctx, pstr + 1);
 171             if (!polsect) {
 172                 X509V3err(X509V3_F_R2I_CERTPOL, X509V3_R_INVALID_SECTION);
 173
 174                 X509V3_conf_err(cnf);
 175                 goto err;
 176             }
 177             pol = policy_section(ctx, polsect, ia5org);
 178             X509V3_section_free(ctx, polsect);
 179             if (!pol)
 180                 goto err;
 181         } else {
 182             if (!(pobj = OBJ_txt2obj(cnf->name, 0))) {
 183                 X509V3err(X509V3_F_R2I_CERTPOL,
 184                           X509V3_R_INVALID_OBJECT_IDENTIFIER);
 185                 X509V3_conf_err(cnf);
 186                 goto err;
 187             }
 188             pol = POLICYINFO_new();
 189             if (pol == NULL) {
 190                 X509V3err(X509V3_F_R2I_CERTPOL, ERR_R_MALLOC_FAILURE);
 191                 goto err;
 192             }
 193             pol->policyid = pobj;
 194         }
 195         if (!sk_POLICYINFO_push(pols, pol)) {
 196             POLICYINFO_free(pol);
 197             X509V3err(X509V3_F_R2I_CERTPOL, ERR_R_MALLOC_FAILURE);
 198             goto err;
 199         }
 200     }
 201     sk_CONF_VALUE_pop_free(vals, X509V3_conf_free);
 202     return pols;
 203  err:
 204     sk_CONF_VALUE_pop_free(vals, X509V3_conf_free);
 205     sk_POLICYINFO_pop_free(pols, POLICYINFO_free);
 206     return NULL;
 207 }
 208
 209 static POLICYINFO *policy_section(X509V3_CTX *ctx,
 210                                   STACK_OF(CONF_VALUE) *polstrs, int ia5org)
 211 {
 212     int i;
 213     CONF_VALUE *cnf;
 214     POLICYINFO *pol;
 215     POLICYQUALINFO *qual;
 216     if (!(pol = POLICYINFO_new()))
 217         goto merr;
 218     for (i = 0; i < sk_CONF_VALUE_num(polstrs); i++) {
 219         cnf = sk_CONF_VALUE_value(polstrs, i);
 220         if (!strcmp(cnf->name, "policyIdentifier")) {
 221             ASN1_OBJECT *pobj;
 222             if (!(pobj = OBJ_txt2obj(cnf->value, 0))) {
 223                 X509V3err(X509V3_F_POLICY_SECTION,
 224                           X509V3_R_INVALID_OBJECT_IDENTIFIER);
 225                 X509V3_conf_err(cnf);
 226                 goto err;
 227             }
 228             pol->policyid = pobj;
 229
 230         } else if (!name_cmp(cnf->name, "CPS")) {
 231             if (!pol->qualifiers)
 232                 pol->qualifiers = sk_POLICYQUALINFO_new_null();
 233             if (!(qual = POLICYQUALINFO_new()))
 234                 goto merr;
 235             if (!sk_POLICYQUALINFO_push(pol->qualifiers, qual))
 236                 goto merr;
 237             if (!(qual->pqualid = OBJ_nid2obj(NID_id_qt_cps))) {
 238                 X509V3err(X509V3_F_POLICY_SECTION, ERR_R_INTERNAL_ERROR);
 239                 goto err;
 240             }
 241             if (!(qual->d.cpsuri = M_ASN1_IA5STRING_new()))
 242                 goto merr;
 243             if (!ASN1_STRING_set(qual->d.cpsuri, cnf->value,
 244                                  strlen(cnf->value)))
 245                 goto merr;
 246         } else if (!name_cmp(cnf->name, "userNotice")) {
 247             STACK_OF(CONF_VALUE) *unot;
 248             if (*cnf->value != '@') {
 249                 X509V3err(X509V3_F_POLICY_SECTION,
 250                           X509V3_R_EXPECTED_A_SECTION_NAME);
 251                 X509V3_conf_err(cnf);
 252                 goto err;
 253             }
 254             unot = X509V3_get_section(ctx, cnf->value + 1);
 255             if (!unot) {
 256                 X509V3err(X509V3_F_POLICY_SECTION, X509V3_R_INVALID_SECTION);
 257
 258                 X509V3_conf_err(cnf);
 259                 goto err;
 260             }
 261             qual = notice_section(ctx, unot, ia5org);
 262             X509V3_section_free(ctx, unot);
 263             if (!qual)
 264                 goto err;
 265             if (!pol->qualifiers)
 266                 pol->qualifiers = sk_POLICYQUALINFO_new_null();
 267             if (!sk_POLICYQUALINFO_push(pol->qualifiers, qual))
 268                 goto merr;
 269         } else {
 270             X509V3err(X509V3_F_POLICY_SECTION, X509V3_R_INVALID_OPTION);
 271
 272             X509V3_conf_err(cnf);
 273             goto err;
 274         }
 275     }
 276     if (!pol->policyid) {
 277         X509V3err(X509V3_F_POLICY_SECTION, X509V3_R_NO_POLICY_IDENTIFIER);
 278         goto err;
 279     }
 280
 281     return pol;
 282
 283  merr:
 284     X509V3err(X509V3_F_POLICY_SECTION, ERR_R_MALLOC_FAILURE);
 285
 286  err:
 287     POLICYINFO_free(pol);
 288     return NULL;
 289
 290 }
 291
 292 static POLICYQUALINFO *notice_section(X509V3_CTX *ctx,
 293                                       STACK_OF(CONF_VALUE) *unot, int ia5org)
 294 {
 295     int i, ret;
 296     CONF_VALUE *cnf;
 297     USERNOTICE *not;
 298     POLICYQUALINFO *qual;
 299     if (!(qual = POLICYQUALINFO_new()))
 300         goto merr;
 301     if (!(qual->pqualid = OBJ_nid2obj(NID_id_qt_unotice))) {
 302         X509V3err(X509V3_F_NOTICE_SECTION, ERR_R_INTERNAL_ERROR);
 303         goto err;
 304     }
 305     if (!(not = USERNOTICE_new()))
 306         goto merr;
 307     qual->d.usernotice = not;
 308     for (i = 0; i < sk_CONF_VALUE_num(unot); i++) {
 309         cnf = sk_CONF_VALUE_value(unot, i);
 310         if (!strcmp(cnf->name, "explicitText")) {
 311             if (!(not->exptext = M_ASN1_VISIBLESTRING_new()))
 312                 goto merr;
 313             if (!ASN1_STRING_set(not->exptext, cnf->value,
 314                                  strlen(cnf->value)))
 315                 goto merr;
 316         } else if (!strcmp(cnf->name, "organization")) {
 317             NOTICEREF *nref;
 318             if (!not->noticeref) {
 319                 if (!(nref = NOTICEREF_new()))
 320                     goto merr;
 321                 not->noticeref = nref;
 322             } else
 323                 nref = not->noticeref;
 324             if (ia5org)
 325                 nref->organization->type = V_ASN1_IA5STRING;
 326             else
 327                 nref->organization->type = V_ASN1_VISIBLESTRING;
 328             if (!ASN1_STRING_set(nref->organization, cnf->value,
 329                                  strlen(cnf->value)))
 330                 goto merr;
 331         } else if (!strcmp(cnf->name, "noticeNumbers")) {
 332             NOTICEREF *nref;
 333             STACK_OF(CONF_VALUE) *nos;
 334             if (!not->noticeref) {
 335                 if (!(nref = NOTICEREF_new()))
 336                     goto merr;
 337                 not->noticeref = nref;
 338             } else
 339                 nref = not->noticeref;
 340             nos = X509V3_parse_list(cnf->value);
 341             if (!nos || !sk_CONF_VALUE_num(nos)) {
 342                 X509V3err(X509V3_F_NOTICE_SECTION, X509V3_R_INVALID_NUMBERS);
 343                 X509V3_conf_err(cnf);
 344                 goto err;
 345             }
 346             ret = nref_nos(nref->noticenos, nos);
 347             sk_CONF_VALUE_pop_free(nos, X509V3_conf_free);
 348             if (!ret)
 349                 goto err;
 350         } else {
 351             X509V3err(X509V3_F_NOTICE_SECTION, X509V3_R_INVALID_OPTION);
 352             X509V3_conf_err(cnf);
 353             goto err;
 354         }
 355     }
 356
 357     if (not->noticeref &&
 358         (!not->noticeref->noticenos || !not->noticeref->organization)) {
 359         X509V3err(X509V3_F_NOTICE_SECTION,
 360                   X509V3_R_NEED_ORGANIZATION_AND_NUMBERS);
 361         goto err;
 362     }
 363
 364     return qual;
 365
 366  merr:
 367     X509V3err(X509V3_F_NOTICE_SECTION, ERR_R_MALLOC_FAILURE);
 368
 369  err:
 370     POLICYQUALINFO_free(qual);
 371     return NULL;
 372 }
 373
 374 static int nref_nos(STACK_OF(ASN1_INTEGER) *nnums, STACK_OF(CONF_VALUE) *nos)
 375 {
 376     CONF_VALUE *cnf;
 377     ASN1_INTEGER *aint;
 378
 379     int i;
 380
 381     for (i = 0; i < sk_CONF_VALUE_num(nos); i++) {
 382         cnf = sk_CONF_VALUE_value(nos, i);
 383         if (!(aint = s2i_ASN1_INTEGER(NULL, cnf->name))) {
 384             X509V3err(X509V3_F_NREF_NOS, X509V3_R_INVALID_NUMBER);
 385             goto err;
 386         }
 387         if (!sk_ASN1_INTEGER_push(nnums, aint))
 388             goto merr;
 389     }
 390     return 1;
 391
 392  merr:
 393     X509V3err(X509V3_F_NREF_NOS, ERR_R_MALLOC_FAILURE);
 394
 395  err:
 396     sk_ASN1_INTEGER_pop_free(nnums, ASN1_STRING_free);
 397     return 0;
 398 }
 399
 400 static int i2r_certpol(X509V3_EXT_METHOD *method, STACK_OF(POLICYINFO) *pol,
 401                        BIO *out, int indent)
 402 {
 403     int i;
 404     POLICYINFO *pinfo;
 405     /* First print out the policy OIDs */
 406     for (i = 0; i < sk_POLICYINFO_num(pol); i++) {
 407         pinfo = sk_POLICYINFO_value(pol, i);
 408         BIO_printf(out, "%*sPolicy: ", indent, "");
 409         i2a_ASN1_OBJECT(out, pinfo->policyid);
 410         BIO_puts(out, "\n");
 411         if (pinfo->qualifiers)
 412             print_qualifiers(out, pinfo->qualifiers, indent + 2);
 413     }
 414     return 1;
 415 }
 416
 417 static void print_qualifiers(BIO *out, STACK_OF(POLICYQUALINFO) *quals,
 418                              int indent)
 419 {
 420     POLICYQUALINFO *qualinfo;
 421     int i;
 422     for (i = 0; i < sk_POLICYQUALINFO_num(quals); i++) {
 423         qualinfo = sk_POLICYQUALINFO_value(quals, i);
 424         switch (OBJ_obj2nid(qualinfo->pqualid)) {
 425         case NID_id_qt_cps:
 426             BIO_printf(out, "%*sCPS: %s\n", indent, "",
 427                        qualinfo->d.cpsuri->data);
 428             break;
 429
 430         case NID_id_qt_unotice:
 431             BIO_printf(out, "%*sUser Notice:\n", indent, "");
 432             print_notice(out, qualinfo->d.usernotice, indent + 2);
 433             break;
 434
 435         default:
 436             BIO_printf(out, "%*sUnknown Qualifier: ", indent + 2, "");
 437
 438             i2a_ASN1_OBJECT(out, qualinfo->pqualid);
 439             BIO_puts(out, "\n");
 440             break;
 441         }
 442     }
 443 }
 444
 445 static void print_notice(BIO *out, USERNOTICE *notice, int indent)
 446 {
 447     int i;
 448     if (notice->noticeref) {
 449         NOTICEREF *ref;
 450         ref = notice->noticeref;
 451         BIO_printf(out, "%*sOrganization: %s\n", indent, "",
 452                    ref->organization->data);
 453         BIO_printf(out, "%*sNumber%s: ", indent, "",
 454                    sk_ASN1_INTEGER_num(ref->noticenos) > 1 ? "s" : "");
 455         for (i = 0; i < sk_ASN1_INTEGER_num(ref->noticenos); i++) {
 456             ASN1_INTEGER *num;
 457             char *tmp;
 458             num = sk_ASN1_INTEGER_value(ref->noticenos, i);
 459             if (i)
 460                 BIO_puts(out, ", ");
 461             tmp = i2s_ASN1_INTEGER(NULL, num);
 462             BIO_puts(out, tmp);
 463             OPENSSL_free(tmp);
 464         }
 465         BIO_puts(out, "\n");
 466     }
 467     if (notice->exptext)
 468         BIO_printf(out, "%*sExplicit Text: %s\n", indent, "",
 469                    notice->exptext->data);
 470 }
 471
 472 void X509_POLICY_NODE_print(BIO *out, X509_POLICY_NODE *node, int indent)
 473 {
 474     const X509_POLICY_DATA *dat = node->data;
 475
 476     BIO_printf(out, "%*sPolicy: ", indent, "");
 477
 478     i2a_ASN1_OBJECT(out, dat->valid_policy);
 479     BIO_puts(out, "\n");
 480     BIO_printf(out, "%*s%s\n", indent + 2, "",
 481                node_data_critical(dat) ? "Critical" : "Non Critical");
 482     if (dat->qualifier_set)
 483         print_qualifiers(out, dat->qualifier_set, indent + 2);
 484     else
 485         BIO_printf(out, "%*sNo Qualifiers\n", indent + 2, "");
 486 }
 487
 488
 489 IMPLEMENT_STACK_OF(X509_POLICY_NODE)
 490
 491 IMPLEMENT_STACK_OF(X509_POLICY_DATA)