crypto/openssl/crypto/pkcs12/p12_crt.c

   1 /* p12_crt.c */
   2 /* Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL
   3  * project.
   4  */
   5 /* ====================================================================
   6  * Copyright (c) 1999-2002 The OpenSSL Project.  All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted provided that the following conditions
  10  * are met:
  11  *
  12  * 1. Redistributions of source code must retain the above copyright
  13  *    notice, this list of conditions and the following disclaimer.
  14  *
  15  * 2. Redistributions in binary form must reproduce the above copyright
  16  *    notice, this list of conditions and the following disclaimer in
  17  *    the documentation and/or other materials provided with the
  18  *    distribution.
  19  *
  20  * 3. All advertising materials mentioning features or use of this
  21  *    software must display the following acknowledgment:
  22  *    "This product includes software developed by the OpenSSL Project
  23  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
  24  *
  25  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  26  *    endorse or promote products derived from this software without
  27  *    prior written permission. For written permission, please contact
  28  *    licensing@OpenSSL.org.
  29  *
  30  * 5. Products derived from this software may not be called "OpenSSL"
  31  *    nor may "OpenSSL" appear in their names without prior written
  32  *    permission of the OpenSSL Project.
  33  *
  34  * 6. Redistributions of any form whatsoever must retain the following
  35  *    acknowledgment:
  36  *    "This product includes software developed by the OpenSSL Project
  37  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
  38  *
  39  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  40  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  41  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  42  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  43  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  44  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  45  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  46  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  48  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  49  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  50  * OF THE POSSIBILITY OF SUCH DAMAGE.
  51  * ====================================================================
  52  *
  53  * This product includes cryptographic software written by Eric Young
  54  * (eay@cryptsoft.com).  This product includes software written by Tim
  55  * Hudson (tjh@cryptsoft.com).
  56  *
  57  */
  58
  59 #include <stdio.h>
  60 #include "cryptlib.h"
  61 #include <openssl/pkcs12.h>
  62 #ifdef OPENSSL_FIPS
  63 #include <openssl/fips.h>
  64 #endif
  65
  66
  67
  68 static int pkcs12_add_bag(STACK_OF(PKCS12_SAFEBAG) **pbags, PKCS12_SAFEBAG *bag);
  69
  70 static int copy_bag_attr(PKCS12_SAFEBAG *bag, EVP_PKEY *pkey, int nid)
  71         {
  72         int idx;
  73         X509_ATTRIBUTE *attr;
  74         idx = EVP_PKEY_get_attr_by_NID(pkey, nid, -1);
  75         if (idx < 0)
  76                 return 1;
  77         attr = EVP_PKEY_get_attr(pkey, idx);
  78         if (!X509at_add1_attr(&bag->attrib, attr))
  79                 return 0;
  80         return 1;
  81         }
  82
  83 PKCS12 *PKCS12_create(char *pass, char *name, EVP_PKEY *pkey, X509 *cert,
  84              STACK_OF(X509) *ca, int nid_key, int nid_cert, int iter, int mac_iter,
  85              int keytype)
  86 {
  87         PKCS12 *p12 = NULL;
  88         STACK_OF(PKCS7) *safes = NULL;
  89         STACK_OF(PKCS12_SAFEBAG) *bags = NULL;
  90         PKCS12_SAFEBAG *bag = NULL;
  91         int i;
  92         unsigned char keyid[EVP_MAX_MD_SIZE];
  93         unsigned int keyidlen = 0;
  94
  95         /* Set defaults */
  96         if (!nid_cert)
  97                 {
  98 #ifdef OPENSSL_FIPS
  99                 if (FIPS_mode())
 100                         nid_cert = NID_pbe_WithSHA1And3_Key_TripleDES_CBC;
 101                 else
 102 #endif
 103 #ifdef OPENSSL_NO_RC2
 104                 nid_cert = NID_pbe_WithSHA1And3_Key_TripleDES_CBC;
 105 #else
 106                 nid_cert = NID_pbe_WithSHA1And40BitRC2_CBC;
 107 #endif
 108                 }
 109         if (!nid_key)
 110                 nid_key = NID_pbe_WithSHA1And3_Key_TripleDES_CBC;
 111         if (!iter)
 112                 iter = PKCS12_DEFAULT_ITER;
 113         if (!mac_iter)
 114                 mac_iter = 1;
 115
 116         if(!pkey && !cert && !ca)
 117                 {
 118                 PKCS12err(PKCS12_F_PKCS12_CREATE,PKCS12_R_INVALID_NULL_ARGUMENT);
 119                 return NULL;
 120                 }
 121
 122         if (pkey && cert)
 123                 {
 124                 if(!X509_check_private_key(cert, pkey))
 125                         return NULL;
 126                 X509_digest(cert, EVP_sha1(), keyid, &keyidlen);
 127                 }
 128
 129         if (cert)
 130                 {
 131                 bag = PKCS12_add_cert(&bags, cert);
 132                 if(name && !PKCS12_add_friendlyname(bag, name, -1))
 133                         goto err;
 134                 if(keyidlen && !PKCS12_add_localkeyid(bag, keyid, keyidlen))
 135                         goto err;
 136                 }
 137
 138         /* Add all other certificates */
 139         for(i = 0; i < sk_X509_num(ca); i++)
 140                 {
 141                 if (!PKCS12_add_cert(&bags, sk_X509_value(ca, i)))
 142                         goto err;
 143                 }
 144
 145         if (bags && !PKCS12_add_safe(&safes, bags, nid_cert, iter, pass))
 146                         goto err;
 147
 148         sk_PKCS12_SAFEBAG_pop_free(bags, PKCS12_SAFEBAG_free);
 149         bags = NULL;
 150
 151         if (pkey)
 152                 {
 153                 bag = PKCS12_add_key(&bags, pkey, keytype, iter, nid_key, pass);
 154
 155                 if (!bag)
 156                         goto err;
 157
 158                 if (!copy_bag_attr(bag, pkey, NID_ms_csp_name))
 159                         goto err;
 160                 if (!copy_bag_attr(bag, pkey, NID_LocalKeySet))
 161                         goto err;
 162
 163                 if(name && !PKCS12_add_friendlyname(bag, name, -1))
 164                         goto err;
 165                 if(keyidlen && !PKCS12_add_localkeyid(bag, keyid, keyidlen))
 166                         goto err;
 167                 }
 168
 169         if (bags && !PKCS12_add_safe(&safes, bags, -1, 0, NULL))
 170                         goto err;
 171
 172         sk_PKCS12_SAFEBAG_pop_free(bags, PKCS12_SAFEBAG_free);
 173         bags = NULL;
 174
 175         p12 = PKCS12_add_safes(safes, 0);
 176
 177         if (!p12)
 178                 goto err;
 179
 180         sk_PKCS7_pop_free(safes, PKCS7_free);
 181
 182         safes = NULL;
 183
 184         if ((mac_iter != -1) &&
 185                 !PKCS12_set_mac(p12, pass, -1, NULL, 0, mac_iter, NULL))
 186             goto err;
 187
 188         return p12;
 189
 190         err:
 191
 192         if (p12)
 193                 PKCS12_free(p12);
 194         if (safes)
 195                 sk_PKCS7_pop_free(safes, PKCS7_free);
 196         if (bags)
 197                 sk_PKCS12_SAFEBAG_pop_free(bags, PKCS12_SAFEBAG_free);
 198         return NULL;
 199
 200 }
 201
 202 PKCS12_SAFEBAG *PKCS12_add_cert(STACK_OF(PKCS12_SAFEBAG) **pbags, X509 *cert)
 203         {
 204         PKCS12_SAFEBAG *bag = NULL;
 205         char *name;
 206         int namelen = -1;
 207         unsigned char *keyid;
 208         int keyidlen = -1;
 209
 210         /* Add user certificate */
 211         if(!(bag = PKCS12_x5092certbag(cert)))
 212                 goto err;
 213
 214         /* Use friendlyName and localKeyID in certificate.
 215          * (if present)
 216          */
 217
 218         name = (char *)X509_alias_get0(cert, &namelen);
 219
 220         if(name && !PKCS12_add_friendlyname(bag, name, namelen))
 221                 goto err;
 222
 223         keyid = X509_keyid_get0(cert, &keyidlen);
 224
 225         if(keyid && !PKCS12_add_localkeyid(bag, keyid, keyidlen))
 226                 goto err;
 227
 228         if (!pkcs12_add_bag(pbags, bag))
 229                 goto err;
 230
 231         return bag;
 232
 233         err:
 234
 235         if (bag)
 236                 PKCS12_SAFEBAG_free(bag);
 237
 238         return NULL;
 239
 240         }
 241
 242 PKCS12_SAFEBAG *PKCS12_add_key(STACK_OF(PKCS12_SAFEBAG) **pbags, EVP_PKEY *key,
 243                                                 int key_usage, int iter,
 244                                                 int nid_key, char *pass)
 245         {
 246
 247         PKCS12_SAFEBAG *bag = NULL;
 248         PKCS8_PRIV_KEY_INFO *p8 = NULL;
 249
 250         /* Make a PKCS#8 structure */
 251         if(!(p8 = EVP_PKEY2PKCS8(key)))
 252                 goto err;
 253         if(key_usage && !PKCS8_add_keyusage(p8, key_usage))
 254                 goto err;
 255         if (nid_key != -1)
 256                 {
 257                 bag = PKCS12_MAKE_SHKEYBAG(nid_key, pass, -1, NULL, 0, iter, p8);
 258                 PKCS8_PRIV_KEY_INFO_free(p8);
 259                 }
 260         else
 261                 bag = PKCS12_MAKE_KEYBAG(p8);
 262
 263         if(!bag)
 264                 goto err;
 265
 266         if (!pkcs12_add_bag(pbags, bag))
 267                 goto err;
 268
 269         return bag;
 270
 271         err:
 272
 273         if (bag)
 274                 PKCS12_SAFEBAG_free(bag);
 275
 276         return NULL;
 277
 278         }
 279
 280 int PKCS12_add_safe(STACK_OF(PKCS7) **psafes, STACK_OF(PKCS12_SAFEBAG) *bags,
 281                                                 int nid_safe, int iter, char *pass)
 282         {
 283         PKCS7 *p7 = NULL;
 284         int free_safes = 0;
 285
 286         if (!*psafes)
 287                 {
 288                 *psafes = sk_PKCS7_new_null();
 289                 if (!*psafes)
 290                         return 0;
 291                 free_safes = 1;
 292                 }
 293         else
 294                 free_safes = 0;
 295
 296         if (nid_safe == 0)
 297 #ifdef OPENSSL_NO_RC2
 298                 nid_safe = NID_pbe_WithSHA1And3_Key_TripleDES_CBC;
 299 #else
 300                 nid_safe = NID_pbe_WithSHA1And40BitRC2_CBC;
 301 #endif
 302
 303         if (nid_safe == -1)
 304                 p7 = PKCS12_pack_p7data(bags);
 305         else
 306                 p7 = PKCS12_pack_p7encdata(nid_safe, pass, -1, NULL, 0,
 307                                           iter, bags);
 308         if (!p7)
 309                 goto err;
 310
 311         if (!sk_PKCS7_push(*psafes, p7))
 312                 goto err;
 313
 314         return 1;
 315
 316         err:
 317         if (free_safes)
 318                 {
 319                 sk_PKCS7_free(*psafes);
 320                 *psafes = NULL;
 321                 }
 322
 323         if (p7)
 324                 PKCS7_free(p7);
 325
 326         return 0;
 327
 328         }
 329
 330 static int pkcs12_add_bag(STACK_OF(PKCS12_SAFEBAG) **pbags, PKCS12_SAFEBAG *bag)
 331         {
 332         int free_bags;
 333         if (!pbags)
 334                 return 1;
 335         if (!*pbags)
 336                 {
 337                 *pbags = sk_PKCS12_SAFEBAG_new_null();
 338                 if (!*pbags)
 339                         return 0;
 340                 free_bags = 1;
 341                 }
 342         else
 343                 free_bags = 0;
 344
 345         if (!sk_PKCS12_SAFEBAG_push(*pbags, bag))
 346                 {
 347                 if (free_bags)
 348                         {
 349                         sk_PKCS12_SAFEBAG_free(*pbags);
 350                         *pbags = NULL;
 351                         }
 352                 return 0;
 353                 }
 354
 355         return 1;
 356
 357         }
 358
 359
 360 PKCS12 *PKCS12_add_safes(STACK_OF(PKCS7) *safes, int nid_p7)
 361         {
 362         PKCS12 *p12;
 363         if (nid_p7 <= 0)
 364                 nid_p7 = NID_pkcs7_data;
 365         p12 = PKCS12_init(nid_p7);
 366
 367         if (!p12)
 368                 return NULL;
 369
 370         if(!PKCS12_pack_authsafes(p12, safes))
 371                 {
 372                 PKCS12_free(p12);
 373                 return NULL;
 374                 }
 375
 376         return p12;
 377
 378         }