开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 游戏 > 其他游戏 > 查看源码
v3_purp.c
资源名称:wow-313-source.rar [点击查看]
上传用户:yisoukefu
上传日期:2020-08-09
资源大小:39506k
文件大小:19k
源码类别:

其他游戏

开发平台:

Visual C++

v3_purp.c:源码内容
  1. /* v3_purp.c */
  2. /* Written by Dr Stephen N Henson (shenson@bigfoot.com) for the OpenSSL
  3.  * project 2001.
  4.  */
  5. /* ====================================================================
  6.  * Copyright (c) 1999-2004 The OpenSSL Project.  All rights reserved.
  7.  *
  8.  * Redistribution and use in source and binary forms, with or without
  9.  * modification, are permitted provided that the following conditions
  10.  * are met:
  11.  *
  12.  * 1. Redistributions of source code must retain the above copyright
  13.  *    notice, this list of conditions and the following disclaimer. 
  14.  *
  15.  * 2. Redistributions in binary form must reproduce the above copyright
  16.  *    notice, this list of conditions and the following disclaimer in
  17.  *    the documentation and/or other materials provided with the
  18.  *    distribution.
  19.  *
  20.  * 3. All advertising materials mentioning features or use of this
  21.  *    software must display the following acknowledgment:
  22.  *    "This product includes software developed by the OpenSSL Project
  23.  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
  24.  *
  25.  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  26.  *    endorse or promote products derived from this software without
  27.  *    prior written permission. For written permission, please contact
  28.  *    licensing@OpenSSL.org.
  29.  *
  30.  * 5. Products derived from this software may not be called "OpenSSL"
  31.  *    nor may "OpenSSL" appear in their names without prior written
  32.  *    permission of the OpenSSL Project.
  33.  *
  34.  * 6. Redistributions of any form whatsoever must retain the following
  35.  *    acknowledgment:
  36.  *    "This product includes software developed by the OpenSSL Project
  37.  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
  38.  *
  39.  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  40.  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  41.  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  42.  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  43.  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  44.  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  45.  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  46.  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  47.  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  48.  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  49.  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  50.  * OF THE POSSIBILITY OF SUCH DAMAGE.
  51.  * ====================================================================
  52.  *
  53.  * This product includes cryptographic software written by Eric Young
  54.  * (eay@cryptsoft.com).  This product includes software written by Tim
  55.  * Hudson (tjh@cryptsoft.com).
  56.  *
  57.  */
  59. #include <stdio.h>
  60. #include "cryptlib.h"
  61. #include <openssl/x509v3.h>
  62. #include <openssl/x509_vfy.h>
  64. static void x509v3_cache_extensions(X509 *x);
  66. static int check_ssl_ca(const X509 *x);
  67. static int check_purpose_ssl_client(const X509_PURPOSE *xp, const X509 *x, int ca);
  68. static int check_purpose_ssl_server(const X509_PURPOSE *xp, const X509 *x, int ca);
  69. static int check_purpose_ns_ssl_server(const X509_PURPOSE *xp, const X509 *x, int ca);
  70. static int purpose_smime(const X509 *x, int ca);
  71. static int check_purpose_smime_sign(const X509_PURPOSE *xp, const X509 *x, int ca);
  72. static int check_purpose_smime_encrypt(const X509_PURPOSE *xp, const X509 *x, int ca);
  73. static int check_purpose_crl_sign(const X509_PURPOSE *xp, const X509 *x, int ca);
  74. static int no_check(const X509_PURPOSE *xp, const X509 *x, int ca);
  75. static int ocsp_helper(const X509_PURPOSE *xp, const X509 *x, int ca);
  77. static int xp_cmp(const X509_PURPOSE * const *a,
  78. const X509_PURPOSE * const *b);
  79. static void xptable_free(X509_PURPOSE *p);
  81. static X509_PURPOSE xstandard[] = {
  82. {X509_PURPOSE_SSL_CLIENT, X509_TRUST_SSL_CLIENT, 0, check_purpose_ssl_client, "SSL client", "sslclient", NULL},
  83. {X509_PURPOSE_SSL_SERVER, X509_TRUST_SSL_SERVER, 0, check_purpose_ssl_server, "SSL server", "sslserver", NULL},
  84. {X509_PURPOSE_NS_SSL_SERVER, X509_TRUST_SSL_SERVER, 0, check_purpose_ns_ssl_server, "Netscape SSL server", "nssslserver", NULL},
  85. {X509_PURPOSE_SMIME_SIGN, X509_TRUST_EMAIL, 0, check_purpose_smime_sign, "S/MIME signing", "smimesign", NULL},
  86. {X509_PURPOSE_SMIME_ENCRYPT, X509_TRUST_EMAIL, 0, check_purpose_smime_encrypt, "S/MIME encryption", "smimeencrypt", NULL},
  87. {X509_PURPOSE_CRL_SIGN, X509_TRUST_COMPAT, 0, check_purpose_crl_sign, "CRL signing", "crlsign", NULL},
  88. {X509_PURPOSE_ANY, X509_TRUST_DEFAULT, 0, no_check, "Any Purpose", "any", NULL},
  89. {X509_PURPOSE_OCSP_HELPER, X509_TRUST_COMPAT, 0, ocsp_helper, "OCSP helper", "ocsphelper", NULL},
  90. };
  92. #define X509_PURPOSE_COUNT (sizeof(xstandard)/sizeof(X509_PURPOSE))
  94. IMPLEMENT_STACK_OF(X509_PURPOSE)
  96. static STACK_OF(X509_PURPOSE) *xptable = NULL;
  98. static int xp_cmp(const X509_PURPOSE * const *a,
  99. const X509_PURPOSE * const *b)
  100. {
  101. return (*a)->purpose - (*b)->purpose;
  102. }
  104. /* As much as I'd like to make X509_check_purpose use a "const" X509*
  105.  * I really can't because it does recalculate hashes and do other non-const
  106.  * things. */
  107. int X509_check_purpose(X509 *x, int id, int ca)
  108. {
  109. int idx;
  110. const X509_PURPOSE *pt;
  111. if(!(x->ex_flags & EXFLAG_SET)) {
  112. CRYPTO_w_lock(CRYPTO_LOCK_X509);
  113. x509v3_cache_extensions(x);
  114. CRYPTO_w_unlock(CRYPTO_LOCK_X509);
  115. }
  116. if(id == -1) return 1;
  117. idx = X509_PURPOSE_get_by_id(id);
  118. if(idx == -1) return -1;
  119. pt = X509_PURPOSE_get0(idx);
  120. return pt->check_purpose(pt, x, ca);
  121. }
  123. int X509_PURPOSE_set(int *p, int purpose)
  124. {
  125. if(X509_PURPOSE_get_by_id(purpose) == -1) {
  126. X509V3err(X509V3_F_X509_PURPOSE_SET, X509V3_R_INVALID_PURPOSE);
  127. return 0;
  128. }
  129. *p = purpose;
  130. return 1;
  131. }
  133. int X509_PURPOSE_get_count(void)
  134. {
  135. if(!xptable) return X509_PURPOSE_COUNT;
  136. return sk_X509_PURPOSE_num(xptable) + X509_PURPOSE_COUNT;
  137. }
  139. X509_PURPOSE * X509_PURPOSE_get0(int idx)
  140. {
  141. if(idx < 0) return NULL;
  142. if(idx < (int)X509_PURPOSE_COUNT) return xstandard + idx;
  143. return sk_X509_PURPOSE_value(xptable, idx - X509_PURPOSE_COUNT);
  144. }
  146. int X509_PURPOSE_get_by_sname(char *sname)
  147. {
  148. int i;
  149. X509_PURPOSE *xptmp;
  150. for(i = 0; i < X509_PURPOSE_get_count(); i++) {
  151. xptmp = X509_PURPOSE_get0(i);
  152. if(!strcmp(xptmp->sname, sname)) return i;
  153. }
  154. return -1;
  155. }
  157. int X509_PURPOSE_get_by_id(int purpose)
  158. {
  159. X509_PURPOSE tmp;
  160. int idx;
  161. if((purpose >= X509_PURPOSE_MIN) && (purpose <= X509_PURPOSE_MAX))
  162. return purpose - X509_PURPOSE_MIN;
  163. tmp.purpose = purpose;
  164. if(!xptable) return -1;
  165. idx = sk_X509_PURPOSE_find(xptable, &tmp);
  166. if(idx == -1) return -1;
  167. return idx + X509_PURPOSE_COUNT;
  168. }
  170. int X509_PURPOSE_add(int id, int trust, int flags,
  171. int (*ck)(const X509_PURPOSE *, const X509 *, int),
  172. char *name, char *sname, void *arg)
  173. {
  174. int idx;
  175. X509_PURPOSE *ptmp;
  176. /* This is set according to what we change: application can't set it */
  177. flags &= ~X509_PURPOSE_DYNAMIC;
  178. /* This will always be set for application modified trust entries */
  179. flags |= X509_PURPOSE_DYNAMIC_NAME;
  180. /* Get existing entry if any */
  181. idx = X509_PURPOSE_get_by_id(id);
  182. /* Need a new entry */
  183. if(idx == -1) {
  184. if(!(ptmp = OPENSSL_malloc(sizeof(X509_PURPOSE)))) {
  185. X509V3err(X509V3_F_X509_PURPOSE_ADD,ERR_R_MALLOC_FAILURE);
  186. return 0;
  187. }
  188. ptmp->flags = X509_PURPOSE_DYNAMIC;
  189. } else ptmp = X509_PURPOSE_get0(idx);
  191. /* OPENSSL_free existing name if dynamic */
  192. if(ptmp->flags & X509_PURPOSE_DYNAMIC_NAME) {
  193. OPENSSL_free(ptmp->name);
  194. OPENSSL_free(ptmp->sname);
  195. }
  196. /* dup supplied name */
  197. ptmp->name = BUF_strdup(name);
  198. ptmp->sname = BUF_strdup(sname);
  199. if(!ptmp->name || !ptmp->sname) {
  200. X509V3err(X509V3_F_X509_PURPOSE_ADD,ERR_R_MALLOC_FAILURE);
  201. return 0;
  202. }
  203. /* Keep the dynamic flag of existing entry */
  204. ptmp->flags &= X509_PURPOSE_DYNAMIC;
  205. /* Set all other flags */
  206. ptmp->flags |= flags;
  208. ptmp->purpose = id;
  209. ptmp->trust = trust;
  210. ptmp->check_purpose = ck;
  211. ptmp->usr_data = arg;
  213. /* If its a new entry manage the dynamic table */
  214. if(idx == -1) {
  215. if(!xptable && !(xptable = sk_X509_PURPOSE_new(xp_cmp))) {
  216. X509V3err(X509V3_F_X509_PURPOSE_ADD,ERR_R_MALLOC_FAILURE);
  217. return 0;
  218. }
  219. if (!sk_X509_PURPOSE_push(xptable, ptmp)) {
  220. X509V3err(X509V3_F_X509_PURPOSE_ADD,ERR_R_MALLOC_FAILURE);
  221. return 0;
  222. }
  223. }
  224. return 1;
  225. }
  227. static void xptable_free(X509_PURPOSE *p)
  228. {
  229. if(!p) return;
  230. if (p->flags & X509_PURPOSE_DYNAMIC) 
  231. {
  232. if (p->flags & X509_PURPOSE_DYNAMIC_NAME) {
  233. OPENSSL_free(p->name);
  234. OPENSSL_free(p->sname);
  235. }
  236. OPENSSL_free(p);
  237. }
  238. }
  240. void X509_PURPOSE_cleanup(void)
  241. {
  242. unsigned int i;
  243. sk_X509_PURPOSE_pop_free(xptable, xptable_free);
  244. for(i = 0; i < X509_PURPOSE_COUNT; i++) xptable_free(xstandard + i);
  245. xptable = NULL;
  246. }
  248. int X509_PURPOSE_get_id(X509_PURPOSE *xp)
  249. {
  250. return xp->purpose;
  251. }
  253. char *X509_PURPOSE_get0_name(X509_PURPOSE *xp)
  254. {
  255. return xp->name;
  256. }
  258. char *X509_PURPOSE_get0_sname(X509_PURPOSE *xp)
  259. {
  260. return xp->sname;
  261. }
  263. int X509_PURPOSE_get_trust(X509_PURPOSE *xp)
  264. {
  265. return xp->trust;
  266. }
  268. static int nid_cmp(int *a, int *b)
  269. {
  270. return *a - *b;
  271. }
  273. int X509_supported_extension(X509_EXTENSION *ex)
  274. {
  275. /* This table is a list of the NIDs of supported extensions:
  276.  * that is those which are used by the verify process. If
  277.  * an extension is critical and doesn't appear in this list
  278.  * then the verify process will normally reject the certificate.
  279.  * The list must be kept in numerical order because it will be
  280.  * searched using bsearch.
  281.  */
  283. static int supported_nids[] = {
  284. NID_netscape_cert_type, /* 71 */
  285.          NID_key_usage, /* 83 */
  286. NID_subject_alt_name, /* 85 */
  287. NID_basic_constraints, /* 87 */
  288.          NID_ext_key_usage, /* 126 */
  289. NID_proxyCertInfo /* 661 */
  290. };
  292. int ex_nid;
  294. ex_nid = OBJ_obj2nid(X509_EXTENSION_get_object(ex));
  296. if (ex_nid == NID_undef) 
  297. return 0;
  299. if (OBJ_bsearch((char *)&ex_nid, (char *)supported_nids,
  300. sizeof(supported_nids)/sizeof(int), sizeof(int),
  301. (int (*)(const void *, const void *))nid_cmp))
  302. return 1;
  303. return 0;
  304. }
  305.  
  307. static void x509v3_cache_extensions(X509 *x)
  308. {
  309. BASIC_CONSTRAINTS *bs;
  310. PROXY_CERT_INFO_EXTENSION *pci;
  311. ASN1_BIT_STRING *usage;
  312. ASN1_BIT_STRING *ns;
  313. EXTENDED_KEY_USAGE *extusage;
  314. X509_EXTENSION *ex;
  316. int i;
  317. if(x->ex_flags & EXFLAG_SET) return;
  318. #ifndef OPENSSL_NO_SHA
  319. X509_digest(x, EVP_sha1(), x->sha1_hash, NULL);
  320. #endif
  321. /* Does subject name match issuer ? */
  322. if(!X509_NAME_cmp(X509_get_subject_name(x), X509_get_issuer_name(x)))
  323.  x->ex_flags |= EXFLAG_SS;
  324. /* V1 should mean no extensions ... */
  325. if(!X509_get_version(x)) x->ex_flags |= EXFLAG_V1;
  326. /* Handle basic constraints */
  327. if((bs=X509_get_ext_d2i(x, NID_basic_constraints, NULL, NULL))) {
  328. if(bs->ca) x->ex_flags |= EXFLAG_CA;
  329. if(bs->pathlen) {
  330. if((bs->pathlen->type == V_ASN1_NEG_INTEGER)
  331. || !bs->ca) {
  332. x->ex_flags |= EXFLAG_INVALID;
  333. x->ex_pathlen = 0;
  334. } else x->ex_pathlen = ASN1_INTEGER_get(bs->pathlen);
  335. } else x->ex_pathlen = -1;
  336. BASIC_CONSTRAINTS_free(bs);
  337. x->ex_flags |= EXFLAG_BCONS;
  338. }
  339. /* Handle proxy certificates */
  340. if((pci=X509_get_ext_d2i(x, NID_proxyCertInfo, NULL, NULL))) {
  341. if (x->ex_flags & EXFLAG_CA
  342.     || X509_get_ext_by_NID(x, NID_subject_alt_name, 0) >= 0
  343.     || X509_get_ext_by_NID(x, NID_issuer_alt_name, 0) >= 0) {
  344. x->ex_flags |= EXFLAG_INVALID;
  345. }
  346. if (pci->pcPathLengthConstraint) {
  347. x->ex_pcpathlen =
  348. ASN1_INTEGER_get(pci->pcPathLengthConstraint);
  349. } else x->ex_pcpathlen = -1;
  350. PROXY_CERT_INFO_EXTENSION_free(pci);
  351. x->ex_flags |= EXFLAG_PROXY;
  352. }
  353. /* Handle key usage */
  354. if((usage=X509_get_ext_d2i(x, NID_key_usage, NULL, NULL))) {
  355. if(usage->length > 0) {
  356. x->ex_kusage = usage->data[0];
  357. if(usage->length > 1) 
  358. x->ex_kusage |= usage->data[1] << 8;
  359. } else x->ex_kusage = 0;
  360. x->ex_flags |= EXFLAG_KUSAGE;
  361. ASN1_BIT_STRING_free(usage);
  362. }
  363. x->ex_xkusage = 0;
  364. if((extusage=X509_get_ext_d2i(x, NID_ext_key_usage, NULL, NULL))) {
  365. x->ex_flags |= EXFLAG_XKUSAGE;
  366. for(i = 0; i < sk_ASN1_OBJECT_num(extusage); i++) {
  367. switch(OBJ_obj2nid(sk_ASN1_OBJECT_value(extusage,i))) {
  368. case NID_server_auth:
  369. x->ex_xkusage |= XKU_SSL_SERVER;
  370. break;
  372. case NID_client_auth:
  373. x->ex_xkusage |= XKU_SSL_CLIENT;
  374. break;
  376. case NID_email_protect:
  377. x->ex_xkusage |= XKU_SMIME;
  378. break;
  380. case NID_code_sign:
  381. x->ex_xkusage |= XKU_CODE_SIGN;
  382. break;
  384. case NID_ms_sgc:
  385. case NID_ns_sgc:
  386. x->ex_xkusage |= XKU_SGC;
  387. break;
  389. case NID_OCSP_sign:
  390. x->ex_xkusage |= XKU_OCSP_SIGN;
  391. break;
  393. case NID_time_stamp:
  394. x->ex_xkusage |= XKU_TIMESTAMP;
  395. break;
  397. case NID_dvcs:
  398. x->ex_xkusage |= XKU_DVCS;
  399. break;
  400. }
  401. }
  402. sk_ASN1_OBJECT_pop_free(extusage, ASN1_OBJECT_free);
  403. }
  405. if((ns=X509_get_ext_d2i(x, NID_netscape_cert_type, NULL, NULL))) {
  406. if(ns->length > 0) x->ex_nscert = ns->data[0];
  407. else x->ex_nscert = 0;
  408. x->ex_flags |= EXFLAG_NSCERT;
  409. ASN1_BIT_STRING_free(ns);
  410. }
  411. x->skid =X509_get_ext_d2i(x, NID_subject_key_identifier, NULL, NULL);
  412. x->akid =X509_get_ext_d2i(x, NID_authority_key_identifier, NULL, NULL);
  413. for (i = 0; i < X509_get_ext_count(x); i++)
  414. {
  415. ex = X509_get_ext(x, i);
  416. if (!X509_EXTENSION_get_critical(ex))
  417. continue;
  418. if (!X509_supported_extension(ex))
  419. {
  420. x->ex_flags |= EXFLAG_CRITICAL;
  421. break;
  422. }
  423. }
  424. x->ex_flags |= EXFLAG_SET;
  425. }
  427. /* CA checks common to all purposes
  428.  * return codes:
  429.  * 0 not a CA
  430.  * 1 is a CA
  431.  * 2 basicConstraints absent so "maybe" a CA
  432.  * 3 basicConstraints absent but self signed V1.
  433.  * 4 basicConstraints absent but keyUsage present and keyCertSign asserted.
  434.  */
  436. #define V1_ROOT (EXFLAG_V1|EXFLAG_SS)
  437. #define ku_reject(x, usage) 
  438. (((x)->ex_flags & EXFLAG_KUSAGE) && !((x)->ex_kusage & (usage)))
  439. #define xku_reject(x, usage) 
  440. (((x)->ex_flags & EXFLAG_XKUSAGE) && !((x)->ex_xkusage & (usage)))
  441. #define ns_reject(x, usage) 
  442. (((x)->ex_flags & EXFLAG_NSCERT) && !((x)->ex_nscert & (usage)))
  444. static int check_ca(const X509 *x)
  445. {
  446. /* keyUsage if present should allow cert signing */
  447. if(ku_reject(x, KU_KEY_CERT_SIGN)) return 0;
  448. if(x->ex_flags & EXFLAG_BCONS) {
  449. if(x->ex_flags & EXFLAG_CA) return 1;
  450. /* If basicConstraints says not a CA then say so */
  451. else return 0;
  452. } else {
  453. /* we support V1 roots for...  uh, I don't really know why. */
  454. if((x->ex_flags & V1_ROOT) == V1_ROOT) return 3;
  455. /* If key usage present it must have certSign so tolerate it */
  456. else if (x->ex_flags & EXFLAG_KUSAGE) return 4;
  457. /* Older certificates could have Netscape-specific CA types */
  458. else if (x->ex_flags & EXFLAG_NSCERT
  459.  && x->ex_nscert & NS_ANY_CA) return 5;
  460. /* can this still be regarded a CA certificate?  I doubt it */
  461. return 0;
  462. }
  463. }
  465. int X509_check_ca(X509 *x)
  466. {
  467. if(!(x->ex_flags & EXFLAG_SET)) {
  468. CRYPTO_w_lock(CRYPTO_LOCK_X509);
  469. x509v3_cache_extensions(x);
  470. CRYPTO_w_unlock(CRYPTO_LOCK_X509);
  471. }
  473. return check_ca(x);
  474. }
  476. /* Check SSL CA: common checks for SSL client and server */
  477. static int check_ssl_ca(const X509 *x)
  478. {
  479. int ca_ret;
  480. ca_ret = check_ca(x);
  481. if(!ca_ret) return 0;
  482. /* check nsCertType if present */
  483. if(ca_ret != 5 || x->ex_nscert & NS_SSL_CA) return ca_ret;
  484. else return 0;
  485. }
  488. static int check_purpose_ssl_client(const X509_PURPOSE *xp, const X509 *x, int ca)
  489. {
  490. if(xku_reject(x,XKU_SSL_CLIENT)) return 0;
  491. if(ca) return check_ssl_ca(x);
  492. /* We need to do digital signatures with it */
  493. if(ku_reject(x,KU_DIGITAL_SIGNATURE)) return 0;
  494. /* nsCertType if present should allow SSL client use */
  495. if(ns_reject(x, NS_SSL_CLIENT)) return 0;
  496. return 1;
  497. }
  499. static int check_purpose_ssl_server(const X509_PURPOSE *xp, const X509 *x, int ca)
  500. {
  501. if(xku_reject(x,XKU_SSL_SERVER|XKU_SGC)) return 0;
  502. if(ca) return check_ssl_ca(x);
  504. if(ns_reject(x, NS_SSL_SERVER)) return 0;
  505. /* Now as for keyUsage: we'll at least need to sign OR encipher */
  506. if(ku_reject(x, KU_DIGITAL_SIGNATURE|KU_KEY_ENCIPHERMENT)) return 0;
  508. return 1;
  510. }
  512. static int check_purpose_ns_ssl_server(const X509_PURPOSE *xp, const X509 *x, int ca)
  513. {
  514. int ret;
  515. ret = check_purpose_ssl_server(xp, x, ca);
  516. if(!ret || ca) return ret;
  517. /* We need to encipher or Netscape complains */
  518. if(ku_reject(x, KU_KEY_ENCIPHERMENT)) return 0;
  519. return ret;
  520. }
  522. /* common S/MIME checks */
  523. static int purpose_smime(const X509 *x, int ca)
  524. {
  525. if(xku_reject(x,XKU_SMIME)) return 0;
  526. if(ca) {
  527. int ca_ret;
  528. ca_ret = check_ca(x);
  529. if(!ca_ret) return 0;
  530. /* check nsCertType if present */
  531. if(ca_ret != 5 || x->ex_nscert & NS_SMIME_CA) return ca_ret;
  532. else return 0;
  533. }
  534. if(x->ex_flags & EXFLAG_NSCERT) {
  535. if(x->ex_nscert & NS_SMIME) return 1;
  536. /* Workaround for some buggy certificates */
  537. if(x->ex_nscert & NS_SSL_CLIENT) return 2;
  538. return 0;
  539. }
  540. return 1;
  541. }
  543. static int check_purpose_smime_sign(const X509_PURPOSE *xp, const X509 *x, int ca)
  544. {
  545. int ret;
  546. ret = purpose_smime(x, ca);
  547. if(!ret || ca) return ret;
  548. if(ku_reject(x, KU_DIGITAL_SIGNATURE|KU_NON_REPUDIATION)) return 0;
  549. return ret;
  550. }
  552. static int check_purpose_smime_encrypt(const X509_PURPOSE *xp, const X509 *x, int ca)
  553. {
  554. int ret;
  555. ret = purpose_smime(x, ca);
  556. if(!ret || ca) return ret;
  557. if(ku_reject(x, KU_KEY_ENCIPHERMENT)) return 0;
  558. return ret;
  559. }
  561. static int check_purpose_crl_sign(const X509_PURPOSE *xp, const X509 *x, int ca)
  562. {
  563. if(ca) {
  564. int ca_ret;
  565. if((ca_ret = check_ca(x)) != 2) return ca_ret;
  566. else return 0;
  567. }
  568. if(ku_reject(x, KU_CRL_SIGN)) return 0;
  569. return 1;
  570. }
  572. /* OCSP helper: this is *not* a full OCSP check. It just checks that
  573.  * each CA is valid. Additional checks must be made on the chain.
  574.  */
  576. static int ocsp_helper(const X509_PURPOSE *xp, const X509 *x, int ca)
  577. {
  578. /* Must be a valid CA.  Should we really support the "I don't know"
  579.    value (2)? */
  580. if(ca) return check_ca(x);
  581. /* leaf certificate is checked in OCSP_verify() */
  582. return 1;
  583. }
  585. static int no_check(const X509_PURPOSE *xp, const X509 *x, int ca)
  586. {
  587. return 1;
  588. }
  590. /* Various checks to see if one certificate issued the second.
  591.  * This can be used to prune a set of possible issuer certificates
  592.  * which have been looked up using some simple method such as by
  593.  * subject name.
  594.  * These are:
  595.  * 1. Check issuer_name(subject) == subject_name(issuer)
  596.  * 2. If akid(subject) exists check it matches issuer
  597.  * 3. If key_usage(issuer) exists check it supports certificate signing
  598.  * returns 0 for OK, positive for reason for mismatch, reasons match
  599.  * codes for X509_verify_cert()
  600.  */
  602. int X509_check_issued(X509 *issuer, X509 *subject)
  603. {
  604. if(X509_NAME_cmp(X509_get_subject_name(issuer),
  605. X509_get_issuer_name(subject)))
  606. return X509_V_ERR_SUBJECT_ISSUER_MISMATCH;
  607. x509v3_cache_extensions(issuer);
  608. x509v3_cache_extensions(subject);
  609. if(subject->akid) {
  610. /* Check key ids (if present) */
  611. if(subject->akid->keyid && issuer->skid &&
  612.  ASN1_OCTET_STRING_cmp(subject->akid->keyid, issuer->skid) )
  613. return X509_V_ERR_AKID_SKID_MISMATCH;
  614. /* Check serial number */
  615. if(subject->akid->serial &&
  616. ASN1_INTEGER_cmp(X509_get_serialNumber(issuer),
  617. subject->akid->serial))
  618. return X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH;
  619. /* Check issuer name */
  620. if(subject->akid->issuer) {
  621. /* Ugh, for some peculiar reason AKID includes
  622.  * SEQUENCE OF GeneralName. So look for a DirName.
  623.  * There may be more than one but we only take any
  624.  * notice of the first.
  625.  */
  626. GENERAL_NAMES *gens;
  627. GENERAL_NAME *gen;
  628. X509_NAME *nm = NULL;
  629. int i;
  630. gens = subject->akid->issuer;
  631. for(i = 0; i < sk_GENERAL_NAME_num(gens); i++) {
  632. gen = sk_GENERAL_NAME_value(gens, i);
  633. if(gen->type == GEN_DIRNAME) {
  634. nm = gen->d.dirn;
  635. break;
  636. }
  637. }
  638. if(nm && X509_NAME_cmp(nm, X509_get_issuer_name(issuer)))
  639. return X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH;
  640. }
  641. }
  642. if(subject->ex_flags & EXFLAG_PROXY)
  643. {
  644. if(ku_reject(issuer, KU_DIGITAL_SIGNATURE))
  645. return X509_V_ERR_KEYUSAGE_NO_DIGITAL_SIGNATURE;
  646. }
  647. else if(ku_reject(issuer, KU_KEY_CERT_SIGN))
  648. return X509_V_ERR_KEYUSAGE_NO_CERTSIGN;
  649. return X509_V_OK;
  650. }