开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
certhigh.c
资源名称:nss-3.1.1.tar.gz [点击查看]
上传用户:lyxiangda
上传日期:2007-01-12
资源大小:3042k
文件大小:26k
源码类别:

CA认证

开发平台:

WINDOWS

certhigh.c:源码内容
  1. /*
  2.  * The contents of this file are subject to the Mozilla Public
  3.  * License Version 1.1 (the "License"); you may not use this file
  4.  * except in compliance with the License. You may obtain a copy of
  5.  * the License at http://www.mozilla.org/MPL/
  6.  * 
  7.  * Software distributed under the License is distributed on an "AS
  8.  * IS" basis, WITHOUT WARRANTY OF ANY KIND, either express or
  9.  * implied. See the License for the specific language governing
  10.  * rights and limitations under the License.
  11.  * 
  12.  * The Original Code is the Netscape security libraries.
  13.  * 
  14.  * The Initial Developer of the Original Code is Netscape
  15.  * Communications Corporation.  Portions created by Netscape are 
  16.  * Copyright (C) 1994-2000 Netscape Communications Corporation.  All
  17.  * Rights Reserved.
  18.  * 
  19.  * Contributor(s):
  20.  * 
  21.  * Alternatively, the contents of this file may be used under the
  22.  * terms of the GNU General Public License Version 2 or later (the
  23.  * "GPL"), in which case the provisions of the GPL are applicable 
  24.  * instead of those above.  If you wish to allow use of your 
  25.  * version of this file only under the terms of the GPL and not to
  26.  * allow others to use your version of this file under the MPL,
  27.  * indicate your decision by deleting the provisions above and
  28.  * replace them with the notice and other provisions required by
  29.  * the GPL.  If you do not delete the provisions above, a recipient
  30.  * may use your version of this file under either the MPL or the
  31.  * GPL.
  32.  */
  33. #include "nspr.h"
  34. #include "secerr.h"
  35. #include "secasn1.h"
  36. #include "seccomon.h"
  37. #include "pk11func.h"
  38. #include "certdb.h"
  39. #include "certt.h"
  40. #include "cert.h"
  41. #include "certxutl.h"
  43. /*
  44.  * Find all user certificates that match the given criteria.
  45.  * 
  46.  * "handle" - database to search
  47.  * "usage" - certificate usage to match
  48.  * "oneCertPerName" - if set then only return the "best" cert per
  49.  * name
  50.  * "validOnly" - only return certs that are curently valid
  51.  * "proto_win" - window handle passed to pkcs11
  52.  */
  53. CERTCertList *
  54. CERT_FindUserCertsByUsage(CERTCertDBHandle *handle,
  55.   SECCertUsage usage,
  56.   PRBool oneCertPerName,
  57.   PRBool validOnly,
  58.   void *proto_win)
  59. {
  60.     CERTCertNicknames *nicknames = NULL;
  61.     char **nnptr;
  62.     int nn;
  63.     CERTCertificate *cert = NULL;
  64.     CERTCertList *certList = NULL;
  65.     SECStatus rv;
  66.     int64 time;
  67.     CERTCertListNode *node = NULL;
  68.     CERTCertListNode *freenode = NULL;
  69.     int n;
  70.     
  71.     time = PR_Now();
  72.     
  73.     nicknames = CERT_GetCertNicknames(handle, SEC_CERT_NICKNAMES_USER,
  74.       proto_win);
  75.     
  76.     if ( ( nicknames == NULL ) || ( nicknames->numnicknames == 0 ) ) {
  77. goto loser;
  78.     }
  80.     nnptr = nicknames->nicknames;
  81.     nn = nicknames->numnicknames;
  83.     while ( nn > 0 ) {
  84. cert = NULL;
  85. /* use the pk11 call so that we pick up any certs on tokens,
  86.  * which may require login
  87.  */
  88. if ( proto_win != NULL ) {
  89.     cert = PK11_FindCertFromNickname(*nnptr,proto_win);
  90. }
  92. /* Sigh, It turns out if the cert is already in the temp db, because
  93.  * it's in the perm db, then the nickname lookup doesn't work.
  94.  * since we already have the cert here, though, than we can just call
  95.  * CERT_CreateSubjectCertList directly. For those cases where we didn't
  96.  * find the cert in pkcs #11 (because we didn't have a password arg,
  97.  * or because the nickname is for a peer, server, or CA cert, then we
  98.  * go look the cert up.
  99.  */
  100. if (cert == NULL) { 
  101.     cert = CERT_FindCertByNickname(handle,*nnptr);
  102. }
  104. if ( cert != NULL ) {
  105.    /* collect certs for this nickname, sorting them into the list */
  106.     certList = CERT_CreateSubjectCertList(certList, handle, 
  107. &cert->derSubject, time, validOnly);
  109.     /* drop the extra reference */
  110.     CERT_DestroyCertificate(cert);
  111. }
  113. nnptr++;
  114. nn--;
  115.     }
  117.     /* remove certs with incorrect usage */
  118.     rv = CERT_FilterCertListByUsage(certList, usage, PR_FALSE);
  120.     if ( rv != SECSuccess ) {
  121. goto loser;
  122.     }
  124.     /* remove any extra certs for each name */
  125.     if ( oneCertPerName ) {
  126. PRBool *flags;
  128. nn = nicknames->numnicknames;
  129. nnptr = nicknames->nicknames;
  131. flags = (PRBool *)PORT_ZAlloc(sizeof(PRBool) * nn);
  132. if ( flags == NULL ) {
  133.     goto loser;
  134. }
  136. node = CERT_LIST_HEAD(certList);
  138. /* treverse all certs in the list */
  139. while ( !CERT_LIST_END(node, certList) ) {
  141.     /* find matching nickname index */
  142.     for ( n = 0; n < nn; n++ ) {
  143. if ( PORT_Strcmp(nnptr[n], node->cert->nickname) == 0 ) {
  144.     /* We found a match.  If this is the first one, then
  145.      * set the flag and move on to the next cert.  If this
  146.      * is not the first one then delete it from the list.
  147.      */
  148.     if ( flags[n] ) {
  149. /* We have already seen a cert with this nickname,
  150.  * so delete this one.
  151.  */
  152. freenode = node;
  153. node = CERT_LIST_NEXT(node);
  154. CERT_RemoveCertListNode(freenode);
  155.     } else {
  156. /* keep the first cert for each nickname, but set the
  157.  * flag so we know to delete any others with the same
  158.  * nickname.
  159.  */
  160. flags[n] = PR_TRUE;
  161. node = CERT_LIST_NEXT(node);
  162.     }
  163.     break;
  164. }
  165.     }
  166.     if ( n == nn ) {
  167. /* if we get here it means that we didn't find a matching
  168.  * nickname, which should not happen.
  169.  */
  170. PORT_Assert(0);
  171. node = CERT_LIST_NEXT(node);
  172.     }
  173. }
  174. PORT_Free(flags);
  175.     }
  177.     goto done;
  178.     
  179. loser:
  180.     if ( certList != NULL ) {
  181. CERT_DestroyCertList(certList);
  182. certList = NULL;
  183.     }
  185. done:
  186.     if ( nicknames != NULL ) {
  187. CERT_FreeNicknames(nicknames);
  188.     }
  190.     return(certList);
  191. }
  193. /*
  194.  * Find a user certificate that matchs the given criteria.
  195.  * 
  196.  * "handle" - database to search
  197.  * "nickname" - nickname to match
  198.  * "usage" - certificate usage to match
  199.  * "validOnly" - only return certs that are curently valid
  200.  * "proto_win" - window handle passed to pkcs11
  201.  */
  202. CERTCertificate *
  203. CERT_FindUserCertByUsage(CERTCertDBHandle *handle,
  204.  char *nickname,
  205.  SECCertUsage usage,
  206.  PRBool validOnly,
  207.  void *proto_win)
  208. {
  209.     CERTCertificate *cert = NULL;
  210.     CERTCertList *certList = NULL;
  211.     SECStatus rv;
  212.     int64 time;
  213.     
  214.     time = PR_Now();
  215.     
  216.     /* use the pk11 call so that we pick up any certs on tokens,
  217.      * which may require login
  218.      */
  219.     /* XXX - why is this restricted? */
  220.     if ( proto_win != NULL ) {
  221. cert = PK11_FindCertFromNickname(nickname,proto_win);
  222.     }
  225.     /* sigh, There are still problems find smart cards from the temp
  226.      * db. This will get smart cards working again. The real fix
  227.      * is to make sure we can search the temp db by their token nickname.
  228.      */
  229.     if (cert == NULL) {
  230. cert = CERT_FindCertByNickname(handle,nickname);
  231.     }
  233.     if ( cert != NULL ) {
  234.   /* collect certs for this nickname, sorting them into the list */
  235. certList = CERT_CreateSubjectCertList(certList, handle, 
  236. &cert->derSubject, time, validOnly);
  238. /* drop the extra reference */
  239. CERT_DestroyCertificate(cert);
  240. cert = NULL;
  241.     }
  243.     if ( certList == NULL ) {
  244. goto loser;
  245.     }
  246.     
  247.     /* remove certs with incorrect usage */
  248.     rv = CERT_FilterCertListByUsage(certList, usage, PR_FALSE);
  250.     if ( rv != SECSuccess ) {
  251. goto loser;
  252.     }
  254.     if ( ! CERT_LIST_END(CERT_LIST_HEAD(certList), certList) ) {
  255. cert = CERT_DupCertificate(CERT_LIST_HEAD(certList)->cert);
  256.     }
  257.     
  258. loser:
  259.     if ( certList != NULL ) {
  260. CERT_DestroyCertList(certList);
  261.     }
  263.     return(cert);
  264. }
  266. CERTCertList *
  267. CERT_MatchUserCert(CERTCertDBHandle *handle,
  268.    SECCertUsage usage,
  269.    int nCANames, char **caNames,
  270.    void *proto_win)
  271. {
  272.     CERTCertList *certList = NULL;
  273.     SECStatus rv;
  275.     certList = CERT_FindUserCertsByUsage(handle, usage, PR_TRUE, PR_TRUE,
  276.  proto_win);
  277.     if ( certList == NULL ) {
  278. goto loser;
  279.     }
  280.     
  281.     rv = CERT_FilterCertListByCANames(certList, nCANames, caNames, usage);
  282.     if ( rv != SECSuccess ) {
  283. goto loser;
  284.     }
  285.     
  286.     goto done;
  287.     
  288. loser:
  289.     if ( certList != NULL ) {
  290. CERT_DestroyCertList(certList);
  291. certList = NULL;
  292.     }
  294. done:
  296.     return(certList);
  297. }
  300. typedef struct stringNode {
  301.     struct stringNode *next;
  302.     char *string;
  303. } stringNode;
  304.     
  305. static SECStatus
  306. CollectNicknames( CERTCertificate *cert, SECItem *k, void *data)
  307. {
  308.     CERTCertNicknames *names;
  309.     PRBool saveit = PR_FALSE;
  310.     CERTCertTrust *trust;
  311.     stringNode *node;
  312.     int len;
  313.     
  314.     names = (CERTCertNicknames *)data;
  315.     
  316.     if ( cert->nickname ) {
  317. trust = cert->trust;
  319. switch(names->what) {
  320.   case SEC_CERT_NICKNAMES_ALL:
  321.     if ( ( trust->sslFlags & (CERTDB_VALID_CA|CERTDB_VALID_PEER) ) ||
  322.       ( trust->emailFlags & (CERTDB_VALID_CA|CERTDB_VALID_PEER) ) ||
  323.       ( trust->objectSigningFlags & (CERTDB_VALID_CA|CERTDB_VALID_PEER) ) ) {
  324. saveit = PR_TRUE;
  325.     }
  326.     
  327.     break;
  328.   case SEC_CERT_NICKNAMES_USER:
  329.     if ( ( trust->sslFlags & CERTDB_USER ) ||
  330. ( trust->emailFlags & CERTDB_USER ) ||
  331. ( trust->objectSigningFlags & CERTDB_USER ) ) {
  332. saveit = PR_TRUE;
  333.     }
  334.     
  335.     break;
  336.   case SEC_CERT_NICKNAMES_SERVER:
  337.     if ( trust->sslFlags & CERTDB_VALID_PEER ) {
  338. saveit = PR_TRUE;
  339.     }
  340.     
  341.     break;
  342.   case SEC_CERT_NICKNAMES_CA:
  343.     if ( ( ( trust->sslFlags & CERTDB_VALID_CA ) == CERTDB_VALID_CA ) ||
  344. ( ( trust->emailFlags & CERTDB_VALID_CA ) == CERTDB_VALID_CA ) ||
  345. ( ( trust->objectSigningFlags & CERTDB_VALID_CA ) == CERTDB_VALID_CA ) ) {
  346. saveit = PR_TRUE;
  347.     }
  348.     break;
  349. }
  350.     }
  352.     /* traverse the list of collected nicknames and make sure we don't make
  353.      * a duplicate
  354.      */
  355.     if ( saveit ) {
  356. node = (stringNode *)names->head;
  357. while ( node != NULL ) {
  358.     if ( PORT_Strcmp(cert->nickname, node->string) == 0 ) { 
  359. /* if the string matches, then don't save this one */
  360. saveit = PR_FALSE;
  361. break;
  362.     }
  363.     node = node->next;
  364. }
  365.     }
  367.     if ( saveit ) {
  369. /* allocate the node */
  370. node = (stringNode*)PORT_ArenaAlloc(names->arena, sizeof(stringNode));
  371. if ( node == NULL ) {
  372.     return(SECFailure);
  373. }
  375. /* copy the string */
  376. len = PORT_Strlen(cert->nickname) + 1;
  377. node->string = (char*)PORT_ArenaAlloc(names->arena, len);
  378. if ( node->string == NULL ) {
  379.     return(SECFailure);
  380. }
  381. PORT_Memcpy(node->string, cert->nickname, len);
  383. /* link it into the list */
  384. node->next = (stringNode *)names->head;
  385. names->head = (void *)node;
  387. /* bump the count */
  388. names->numnicknames++;
  389.     }
  390.     
  391.     return(SECSuccess);
  392. }
  394. CERTCertNicknames *
  395. CERT_GetCertNicknames(CERTCertDBHandle *handle, int what, void *wincx)
  396. {
  397.     PRArenaPool *arena;
  398.     CERTCertNicknames *names;
  399.     int i;
  400.     SECStatus rv;
  401.     stringNode *node;
  402.     
  403.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  404.     if ( arena == NULL ) {
  405. PORT_SetError(SEC_ERROR_NO_MEMORY);
  406. return(NULL);
  407.     }
  408.     
  409.     names = (CERTCertNicknames *)PORT_ArenaAlloc(arena, sizeof(CERTCertNicknames));
  410.     if ( names == NULL ) {
  411. goto loser;
  412.     }
  414.     names->arena = arena;
  415.     names->head = NULL;
  416.     names->numnicknames = 0;
  417.     names->nicknames = NULL;
  418.     names->what = what;
  419.     names->totallen = 0;
  420.     
  421.     rv = SEC_TraversePermCerts(handle, CollectNicknames, (void *)names);
  422.     if ( rv ) {
  423. goto loser;
  424.     }
  426.     if ( wincx != NULL ) {
  427. rv = PK11_TraverseSlotCerts(CollectNicknames, (void *)names, wincx);
  428. if ( rv ) {
  429.     goto loser;
  430. }
  431.     }
  433.     if ( names->numnicknames ) {
  434. names->nicknames = (char**)PORT_ArenaAlloc(arena,
  435.  names->numnicknames * sizeof(char *));
  437. if ( names->nicknames == NULL ) {
  438.     goto loser;
  439. }
  440.     
  441. node = (stringNode *)names->head;
  443. for ( i = 0; i < names->numnicknames; i++ ) {
  444.     PORT_Assert(node != NULL);
  445.     
  446.     names->nicknames[i] = node->string;
  447.     names->totallen += PORT_Strlen(node->string);
  448.     node = node->next;
  449. }
  451. PORT_Assert(node == NULL);
  452.     }
  454.     return(names);
  455.     
  456. loser:
  457.     PORT_FreeArena(arena, PR_FALSE);
  458.     return(NULL);
  459. }
  461. void
  462. CERT_FreeNicknames(CERTCertNicknames *nicknames)
  463. {
  464.     PORT_FreeArena(nicknames->arena, PR_FALSE);
  465.     
  466.     return;
  467. }
  469. /* [ FROM pcertdb.c ] */
  471. typedef struct dnameNode {
  472.     struct dnameNode *next;
  473.     SECItem name;
  474. } dnameNode;
  476. void
  477. CERT_FreeDistNames(CERTDistNames *names)
  478. {
  479.     PORT_FreeArena(names->arena, PR_FALSE);
  480.     
  481.     return;
  482. }
  484. static SECStatus
  485. CollectDistNames( CERTCertificate *cert, SECItem *k, void *data)
  486. {
  487.     CERTDistNames *names;
  488.     PRBool saveit = PR_FALSE;
  489.     CERTCertTrust *trust;
  490.     dnameNode *node;
  491.     int len;
  492.     
  493.     names = (CERTDistNames *)data;
  494.     
  495.     if ( cert->trust ) {
  496. trust = cert->trust;
  498. /* only collect names of CAs trusted for issuing SSL clients */
  499. if ( ( trust->sslFlags &
  500.       ( CERTDB_VALID_CA | CERTDB_TRUSTED_CLIENT_CA ) ) ==
  501.        ( CERTDB_VALID_CA | CERTDB_TRUSTED_CLIENT_CA ) ) {
  502.     saveit = PR_TRUE;
  503. }
  504.     }
  506.     if ( saveit ) {
  507. /* allocate the node */
  508. node = (dnameNode*)PORT_ArenaAlloc(names->arena, sizeof(dnameNode));
  509. if ( node == NULL ) {
  510.     return(SECFailure);
  511. }
  513. /* copy the name */
  514. node->name.len = len = cert->derSubject.len;
  515. node->name.type = siBuffer;
  516. node->name.data = (unsigned char*)PORT_ArenaAlloc(names->arena, len);
  517. if ( node->name.data == NULL ) {
  518.     return(SECFailure);
  519. }
  520. PORT_Memcpy(node->name.data, cert->derSubject.data, len);
  522. /* link it into the list */
  523. node->next = (dnameNode *)names->head;
  524. names->head = (void *)node;
  526. /* bump the count */
  527. names->nnames++;
  528.     }
  529.     
  530.     return(SECSuccess);
  531. }
  533. /*
  534.  * Return all of the CAs that are "trusted" for SSL.
  535.  */
  536. CERTDistNames *
  537. CERT_GetSSLCACerts(CERTCertDBHandle *handle)
  538. {
  539.     PRArenaPool *arena;
  540.     CERTDistNames *names;
  541.     int i;
  542.     SECStatus rv;
  543.     dnameNode *node;
  544.     
  545.     /* allocate an arena to use */
  546.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  547.     if ( arena == NULL ) {
  548. PORT_SetError(SEC_ERROR_NO_MEMORY);
  549. return(NULL);
  550.     }
  551.     
  552.     /* allocate the header structure */
  553.     names = (CERTDistNames *)PORT_ArenaAlloc(arena, sizeof(CERTDistNames));
  554.     if ( names == NULL ) {
  555. goto loser;
  556.     }
  558.     /* initialize the header struct */
  559.     names->arena = arena;
  560.     names->head = NULL;
  561.     names->nnames = 0;
  562.     names->names = NULL;
  563.     
  564.     /* collect the names from the database */
  565.     rv = SEC_TraversePermCerts(handle, CollectDistNames, (void *)names);
  566.     if ( rv ) {
  567. goto loser;
  568.     }
  570.     /* construct the array from the list */
  571.     if ( names->nnames ) {
  572. names->names = (SECItem*)PORT_ArenaAlloc(arena, names->nnames * sizeof(SECItem));
  574. if ( names->names == NULL ) {
  575.     goto loser;
  576. }
  577.     
  578. node = (dnameNode *)names->head;
  580. for ( i = 0; i < names->nnames; i++ ) {
  581.     PORT_Assert(node != NULL);
  582.     
  583.     names->names[i] = node->name;
  584.     node = node->next;
  585. }
  587. PORT_Assert(node == NULL);
  588.     }
  590.     return(names);
  591.     
  592. loser:
  593.     PORT_FreeArena(arena, PR_FALSE);
  594.     return(NULL);
  595. }
  597. CERTDistNames *
  598. CERT_DistNamesFromNicknames(CERTCertDBHandle *handle, char **nicknames,
  599.    int nnames)
  600. {
  601.     CERTDistNames *dnames = NULL;
  602.     PRArenaPool *arena;
  603.     int i, rv;
  604.     SECItem *names = NULL;
  605.     CERTCertificate *cert = NULL;
  606.     
  607.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  608.     if (arena == NULL) goto loser;
  609.     dnames = (CERTDistNames*)PORT_Alloc(sizeof(CERTDistNames));
  610.     if (dnames == NULL) goto loser;
  612.     dnames->arena = arena;
  613.     dnames->nnames = nnames;
  614.     dnames->names = names = (SECItem*)PORT_Alloc(nnames * sizeof(SECItem));
  615.     if (names == NULL) goto loser;
  616.     
  617.     for (i = 0; i < nnames; i++) {
  618. cert = CERT_FindCertByNicknameOrEmailAddr(handle, nicknames[i]);
  619. if (cert == NULL) goto loser;
  620. rv = SECITEM_CopyItem(arena, &names[i], &cert->derSubject);
  621. if (rv == SECFailure) goto loser;
  622. CERT_DestroyCertificate(cert);
  623.     }
  624.     return dnames;
  625.     
  626. loser:
  627.     if (cert != NULL)
  628. CERT_DestroyCertificate(cert);
  629.     if (arena != NULL)
  630. PORT_FreeArena(arena, PR_FALSE);
  631.     return NULL;
  632. }
  634. /* [ from pcertdb.c - calls Ascii to Name ] */
  635. /*
  636.  * Lookup a certificate in the database by name
  637.  */
  638. CERTCertificate *
  639. CERT_FindCertByNameString(CERTCertDBHandle *handle, char *nameStr)
  640. {
  641.     CERTName *name;
  642.     SECItem *nameItem;
  643.     CERTCertificate *cert = NULL;
  644.     PRArenaPool *arena = NULL;
  645.     
  646.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  647.     
  648.     if ( arena == NULL ) {
  649. goto loser;
  650.     }
  651.     
  652.     name = CERT_AsciiToName(nameStr);
  653.     
  654.     if ( name ) {
  655. nameItem = SEC_ASN1EncodeItem (arena, NULL, (void *)name,
  656.        CERT_NameTemplate);
  657. if ( nameItem == NULL ) {
  658.     goto loser;
  659. }
  661. cert = CERT_FindCertByName(handle, nameItem);
  662. CERT_DestroyName(name);
  663.     }
  665. loser:
  666.     if ( arena ) {
  667. PORT_FreeArena(arena, PR_FALSE);
  668.     }
  669.     
  670.     return(cert);
  671. }
  673. /* From certv3.c */
  675. CERTCrlDistributionPoints *
  676. CERT_FindCRLDistributionPoints (CERTCertificate *cert)
  677. {
  678.     SECItem encodedExtenValue;
  679.     SECStatus rv;
  681.     encodedExtenValue.data = NULL;
  682.     encodedExtenValue.len = 0;
  684.     rv = cert_FindExtension(cert->extensions, SEC_OID_X509_CRL_DIST_POINTS,
  685.     &encodedExtenValue);
  686.     if ( rv != SECSuccess ) {
  687. return (NULL);
  688.     }
  690.     return (CERT_DecodeCRLDistributionPoints (cert->arena,
  691.       &encodedExtenValue));
  692. }
  694. /* From crl.c */
  695. CERTSignedCrl * CERT_ImportCRL
  696.    (CERTCertDBHandle *handle, SECItem *derCRL, char *url, int type, void *wincx)
  697. {
  698.     CERTCertificate *caCert;
  699.     CERTSignedCrl *newCrl, *crl;
  700.     SECStatus rv;
  702.     newCrl = crl = NULL;
  704.     PORT_Assert (handle != NULL);
  705.     do {
  707. newCrl = CERT_DecodeDERCrl(NULL, derCRL, type);
  708. if (newCrl == NULL) {
  709.     if (type == SEC_CRL_TYPE) {
  710. /* only promote error when the error code is too generic */
  711. if (PORT_GetError () == SEC_ERROR_BAD_DER)
  712. PORT_SetError(SEC_ERROR_CRL_INVALID);
  713.     } else {
  714. PORT_SetError(SEC_ERROR_KRL_INVALID);
  715.     }
  716.     break;
  717. }
  718.     
  719. caCert = CERT_FindCertByName (handle, &newCrl->crl.derName);
  720. if (caCert == NULL) {
  721.     PORT_SetError(SEC_ERROR_UNKNOWN_ISSUER);     
  722.     break;
  723. }
  725. /* If caCert is a v3 certificate, make sure that it can be used for
  726.    crl signing purpose */
  727. rv = CERT_CheckCertUsage (caCert, KU_CRL_SIGN);
  728. if (rv != SECSuccess) {
  729.     break;
  730. }
  732. rv = CERT_VerifySignedData(&newCrl->signatureWrap, caCert,
  733.    PR_Now(), wincx);
  734. if (rv != SECSuccess) {
  735.     if (type == SEC_CRL_TYPE) {
  736. PORT_SetError(SEC_ERROR_CRL_BAD_SIGNATURE);
  737.     } else {
  738. PORT_SetError(SEC_ERROR_KRL_BAD_SIGNATURE);
  739.     }
  740.     break;
  741. }
  743. /* Do CRL validation and add to the dbase if this crl is more present then the one
  744.    in the dbase, if one exists.
  745.  */
  746. crl = cert_DBInsertCRL (handle, url, newCrl, derCRL, type);
  748.     } while (0);
  750.     SEC_DestroyCrl (newCrl);
  751.     return (crl);
  752. }
  754. /* From certdb.c */
  755. SECStatus
  756. CERT_ImportCAChain(SECItem *certs, int numcerts, SECCertUsage certUsage)
  757. {
  758.     SECStatus rv;
  759.     SECItem *derCert;
  760.     SECItem certKey;
  761.     PRArenaPool *arena;
  762.     CERTCertificate *cert = NULL;
  763.     CERTCertificate *newcert = NULL;
  764.     CERTCertDBHandle *handle;
  765.     CERTCertTrust trust;
  766.     PRBool isca;
  767.     char *nickname;
  768.     unsigned int certtype;
  769.     
  770.     handle = CERT_GetDefaultCertDB();
  771.     
  772.     arena = NULL;
  774.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  775.     if ( ! arena ) {
  776. goto loser;
  777.     }
  779.     while (numcerts--) {
  780. derCert = certs;
  781. certs++;
  783. /* get the key (issuer+cn) from the cert */
  784. rv = CERT_KeyFromDERCert(arena, derCert, &certKey);
  785. if ( rv != SECSuccess ) {
  786.     goto loser;
  787. }
  789. /* same cert already exists in the database, don't need to do
  790.  * anything more with it
  791.  */
  792. cert = CERT_FindCertByKey(handle, &certKey);
  793. if ( cert ) {
  794.     CERT_DestroyCertificate(cert);
  795.     cert = NULL;
  796.     continue;
  797. }
  799. /* decode my certificate */
  800. newcert = CERT_DecodeDERCertificate(derCert, PR_FALSE, NULL);
  801. if ( newcert == NULL ) {
  802.     goto loser;
  803. }
  805. /* make sure that cert is valid */
  806. rv = CERT_CertTimesValid(newcert);
  807. if ( rv == SECFailure ) {
  808.     goto endloop;
  809. }
  811. /* does it have the CA extension */
  813. /*
  814.  * Make sure that if this is an intermediate CA in the chain that
  815.  * it was given permission by its signer to be a CA.
  816.  */
  817. isca = CERT_IsCACert(newcert, &certtype);
  819. if ( !isca ) {
  820.     goto endloop;
  821. }
  823. /* SSL ca's must have the ssl bit set */
  824. if ( ( certUsage == certUsageSSLCA ) &&
  825.     ( ( certtype & NS_CERT_TYPE_SSL_CA ) != NS_CERT_TYPE_SSL_CA ) ) {
  826.     goto endloop;
  827. }
  829. /* it passed all of the tests, so lets add it to the database */
  830. /* mark it as a CA */
  831. PORT_Memset((void *)&trust, 0, sizeof(trust));
  832. switch ( certUsage ) {
  833.   case certUsageSSLCA:
  834.     trust.sslFlags = CERTDB_VALID_CA;
  835.     break;
  836.   case certUsageUserCertImport:
  837.     if ( ( certtype & NS_CERT_TYPE_SSL_CA ) == NS_CERT_TYPE_SSL_CA ) {
  838. trust.sslFlags = CERTDB_VALID_CA;
  839.     }
  840.     if ( ( certtype & NS_CERT_TYPE_EMAIL_CA ) ==
  841. NS_CERT_TYPE_EMAIL_CA ) {
  842. trust.emailFlags = CERTDB_VALID_CA;
  843.     }
  844.     if ( ( certtype & NS_CERT_TYPE_OBJECT_SIGNING_CA ) ==
  845. NS_CERT_TYPE_OBJECT_SIGNING_CA ) {
  846. trust.objectSigningFlags = CERTDB_VALID_CA;
  847.     }
  848.     break;
  849.   default:
  850.     PORT_Assert(0);
  851.     break;
  852. }
  854. cert = CERT_NewTempCertificate(handle, derCert, NULL, PR_FALSE, PR_TRUE);
  855. if ( cert == NULL ) {
  856.     goto loser;
  857. }
  859. /* get a default nickname for it */
  860. nickname = CERT_MakeCANickname(cert);
  862. rv = CERT_AddTempCertToPerm(cert, nickname, &trust);
  863. /* free the nickname */
  864. if ( nickname ) {
  865.     PORT_Free(nickname);
  866. }
  868. CERT_DestroyCertificate(cert);
  869. cert = NULL;
  871. if ( rv != SECSuccess ) {
  872.     goto loser;
  873. }
  875. endloop:
  876. if ( newcert ) {
  877.     CERT_DestroyCertificate(newcert);
  878.     newcert = NULL;
  879. }
  881.     }
  883.     rv = SECSuccess;
  884.     goto done;
  885. loser:
  886.     rv = SECFailure;
  887. done:
  888.     
  889.     if ( newcert ) {
  890. CERT_DestroyCertificate(newcert);
  891. newcert = NULL;
  892.     }
  893.     
  894.     if ( cert ) {
  895. CERT_DestroyCertificate(cert);
  896. cert = NULL;
  897.     }
  898.     
  899.     if ( arena ) {
  900. PORT_FreeArena(arena, PR_FALSE);
  901.     }
  903.     return(rv);
  904. }
  906. /* Moved from certdb.c */
  907. /*
  908. ** CERT_CertChainFromCert
  909. **
  910. ** Construct a CERTCertificateList consisting of the given certificate and all
  911. ** of the issuer certs until we either get to a self-signed cert or can't find
  912. ** an issuer.  Since we don't know how many certs are in the chain we have to
  913. ** build a linked list first as we count them.
  914. */
  916. typedef struct certNode {
  917.     struct certNode *next;
  918.     CERTCertificate *cert;
  919. } certNode;
  921. CERTCertificateList *
  922. CERT_CertChainFromCert(CERTCertificate *cert, SECCertUsage usage,
  923.        PRBool includeRoot)
  924. {
  925.     CERTCertificateList *chain = NULL;
  926.     CERTCertificate *c;
  927.     SECItem *p;
  928.     int rv, len = 0;
  929.     PRArenaPool *tmpArena, *arena;
  930.     certNode *head, *tail, *node;
  932.     /*
  933.      * Initialize stuff so we can goto loser.
  934.      */
  935.     head = NULL;
  936.     arena = NULL;
  938.     /* arena for linked list */
  939.     tmpArena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  940.     if (tmpArena == NULL) goto no_memory;
  942.     /* arena for SecCertificateList */
  943.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  944.     if (arena == NULL) goto no_memory;
  946.     head = tail = (certNode*)PORT_ArenaZAlloc(tmpArena, sizeof(certNode));
  947.     if (head == NULL) goto no_memory;
  949.     /* put primary cert first in the linked list */
  950.     head->cert = c = CERT_DupCertificate(cert);
  951.     if (head->cert == NULL) goto loser;
  952.     len++;
  954.     /* add certs until we come to a self-signed one */
  955.     while(SECITEM_CompareItem(&c->derIssuer, &c->derSubject) != SECEqual) {
  956. c = CERT_FindCertIssuer(tail->cert, PR_Now(), usage);
  957. if (c == NULL) {
  958.     /* no root is found, so make sure we don't attempt to delete one
  959.      * below
  960.      */
  961.     includeRoot = PR_TRUE;
  962.     break;
  963. }
  965. tail->next = (certNode*)PORT_ArenaZAlloc(tmpArena, sizeof(certNode));
  966. tail = tail->next;
  967. if (tail == NULL) goto no_memory;
  969. tail->cert = c;
  970. len++;
  971.     }
  973.     /* now build the CERTCertificateList */
  974.     chain = (CERTCertificateList *)PORT_ArenaAlloc(arena, sizeof(CERTCertificateList));
  975.     if (chain == NULL) goto no_memory;
  976.     chain->certs = (SECItem*)PORT_ArenaAlloc(arena, len * sizeof(SECItem));
  977.     if (chain->certs == NULL) goto no_memory;
  978.     
  979.     for(node = head, p = chain->certs; node; node = node->next, p++) {
  980. rv = SECITEM_CopyItem(arena, p, &node->cert->derCert);
  981. CERT_DestroyCertificate(node->cert);
  982. node->cert = NULL;
  983. if (rv < 0) goto loser;
  984.     }
  985.     if ( !includeRoot && len > 1) {
  986. chain->len = len - 1;
  987.     } else {
  988. chain->len = len;
  989.     }
  990.     
  991.     chain->arena = arena;
  993.     PORT_FreeArena(tmpArena, PR_FALSE);
  994.     
  995.     return chain;
  997. no_memory:
  998.     PORT_SetError(SEC_ERROR_NO_MEMORY);
  999. loser:
  1000.     if (head != NULL) {
  1001. for (node = head; node; node = node->next) {
  1002.     if (node->cert != NULL)
  1003. CERT_DestroyCertificate(node->cert);
  1004. }
  1005.     }
  1007.     if (arena != NULL) {
  1008. PORT_FreeArena(arena, PR_FALSE);
  1009.     }
  1011.     if (tmpArena != NULL) {
  1012. PORT_FreeArena(tmpArena, PR_FALSE);
  1013.     }
  1015.     return NULL;
  1016. }
  1018. /* Builds a CERTCertificateList holding just one DER-encoded cert, namely
  1019. ** the one for the cert passed as an argument.
  1020. */
  1021. CERTCertificateList *
  1022. CERT_CertListFromCert(CERTCertificate *cert)
  1023. {
  1024.     CERTCertificateList *chain = NULL;
  1025.     int rv;
  1026.     PRArenaPool *arena;
  1028.     /* arena for SecCertificateList */
  1029.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  1030.     if (arena == NULL) goto no_memory;
  1032.     /* build the CERTCertificateList */
  1033.     chain = (CERTCertificateList *)PORT_ArenaAlloc(arena, sizeof(CERTCertificateList));
  1034.     if (chain == NULL) goto no_memory;
  1035.     chain->certs = (SECItem*)PORT_ArenaAlloc(arena, 1 * sizeof(SECItem));
  1036.     if (chain->certs == NULL) goto no_memory;
  1037.     rv = SECITEM_CopyItem(arena, chain->certs, &(cert->derCert));
  1038.     if (rv < 0) goto loser;
  1039.     chain->len = 1;
  1040.     chain->arena = arena;
  1042.     return chain;
  1044. no_memory:
  1045.     PORT_SetError(SEC_ERROR_NO_MEMORY);
  1046. loser:
  1047.     if (arena != NULL) {
  1048. PORT_FreeArena(arena, PR_FALSE);
  1049.     }
  1050.     return NULL;
  1051. }
  1053. CERTCertificateList *
  1054. CERT_DupCertList(CERTCertificateList * oldList)
  1055. {
  1056.     CERTCertificateList *newList = NULL;
  1057.     PRArenaPool         *arena   = NULL;
  1058.     SECItem             *newItem;
  1059.     SECItem             *oldItem;
  1060.     int                 len      = oldList->len;
  1061.     int                 rv;
  1063.     /* arena for SecCertificateList */
  1064.     arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  1065.     if (arena == NULL) 
  1066. goto no_memory;
  1068.     /* now build the CERTCertificateList */
  1069.     newList = PORT_ArenaNew(arena, CERTCertificateList);
  1070.     if (newList == NULL) 
  1071. goto no_memory;
  1072.     newList->arena = arena;
  1073.     newItem = (SECItem*)PORT_ArenaAlloc(arena, len * sizeof(SECItem));
  1074.     if (newItem == NULL) 
  1075. goto no_memory;
  1076.     newList->certs = newItem;
  1077.     newList->len   = len;
  1079.     for (oldItem = oldList->certs; len > 0; --len, ++newItem, ++oldItem) {
  1080. rv = SECITEM_CopyItem(arena, newItem, oldItem);
  1081. if (rv < 0) 
  1082.     goto loser;
  1083.     }
  1084.     return newList;
  1086. no_memory:
  1087.     PORT_SetError(SEC_ERROR_NO_MEMORY);
  1088. loser:
  1089.     if (arena != NULL) {
  1090. PORT_FreeArena(arena, PR_FALSE);
  1091.     }
  1092.     return NULL;
  1093. }
  1095. void
  1096. CERT_DestroyCertificateList(CERTCertificateList *list)
  1097. {
  1098.     PORT_FreeArena(list->arena, PR_FALSE);
  1099. }