开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
crl.c
资源名称:nss-3.1.1.tar.gz [点击查看]
上传用户:lyxiangda
上传日期:2007-01-12
资源大小:3042k
文件大小:11k
源码类别:

CA认证

开发平台:

WINDOWS

crl.c:源码内容
  1. /*
  2.  * The contents of this file are subject to the Mozilla Public
  3.  * License Version 1.1 (the "License"); you may not use this file
  4.  * except in compliance with the License. You may obtain a copy of
  5.  * the License at http://www.mozilla.org/MPL/
  6.  * 
  7.  * Software distributed under the License is distributed on an "AS
  8.  * IS" basis, WITHOUT WARRANTY OF ANY KIND, either express or
  9.  * implied. See the License for the specific language governing
  10.  * rights and limitations under the License.
  11.  * 
  12.  * The Original Code is the Netscape security libraries.
  13.  * 
  14.  * The Initial Developer of the Original Code is Netscape
  15.  * Communications Corporation.  Portions created by Netscape are 
  16.  * Copyright (C) 1994-2000 Netscape Communications Corporation.  All
  17.  * Rights Reserved.
  18.  * 
  19.  * Contributor(s):
  20.  * 
  21.  * Alternatively, the contents of this file may be used under the
  22.  * terms of the GNU General Public License Version 2 or later (the
  23.  * "GPL"), in which case the provisions of the GPL are applicable 
  24.  * instead of those above.  If you wish to allow use of your 
  25.  * version of this file only under the terms of the GPL and not to
  26.  * allow others to use your version of this file under the MPL,
  27.  * indicate your decision by deleting the provisions above and
  28.  * replace them with the notice and other provisions required by
  29.  * the GPL.  If you do not delete the provisions above, a recipient
  30.  * may use your version of this file under either the MPL or the
  31.  * GPL.
  32.  */
  34. /*
  35.  * Moved from secpkcs7.c
  36.  *
  37.  * $Id: crl.c,v 1.1 2000/03/31 19:42:37 relyea%netscape.com Exp $
  38.  */
  40. #include "cert.h"
  41. #include "secder.h"
  42. #include "secasn1.h"
  43. #include "secoid.h"
  44. #include "certdb.h"
  45. #include "certxutl.h"
  46. #include "prtime.h"
  47. #include "secerr.h"
  49. const SEC_ASN1Template SEC_CERTExtensionTemplate[] = {
  50.     { SEC_ASN1_SEQUENCE,
  51.   0, NULL, sizeof(CERTCertExtension) },
  52.     { SEC_ASN1_OBJECT_ID,
  53.   offsetof(CERTCertExtension,id) },
  54.     { SEC_ASN1_OPTIONAL | SEC_ASN1_BOOLEAN, /* XXX DER_DEFAULT */
  55.   offsetof(CERTCertExtension,critical), },
  56.     { SEC_ASN1_OCTET_STRING,
  57.   offsetof(CERTCertExtension,value) },
  58.     { 0, }
  59. };
  61. static const SEC_ASN1Template SEC_CERTExtensionsTemplate[] = {
  62.     { SEC_ASN1_SEQUENCE_OF, 0,  SEC_CERTExtensionTemplate}
  63. };
  65. /*
  66.  * XXX Also, these templates, especially the Krl/FORTEZZA ones, need to
  67.  * be tested; Lisa did the obvious translation but they still should be
  68.  * verified.
  69.  */
  71. const SEC_ASN1Template CERT_IssuerAndSNTemplate[] = {
  72.     { SEC_ASN1_SEQUENCE,
  73.   0, NULL, sizeof(CERTIssuerAndSN) },
  74.     { SEC_ASN1_SAVE,
  75.   offsetof(CERTIssuerAndSN,derIssuer) },
  76.     { SEC_ASN1_INLINE,
  77.   offsetof(CERTIssuerAndSN,issuer),
  78.   CERT_NameTemplate },
  79.     { SEC_ASN1_INTEGER,
  80.   offsetof(CERTIssuerAndSN,serialNumber) },
  81.     { 0 }
  82. };
  84. static const SEC_ASN1Template cert_KrlEntryTemplate[] = {
  85.     { SEC_ASN1_SEQUENCE,
  86.   0, NULL, sizeof(CERTCrlEntry) },
  87.     { SEC_ASN1_OCTET_STRING,
  88.   offsetof(CERTCrlEntry,serialNumber) },
  89.     { SEC_ASN1_UTC_TIME,
  90.   offsetof(CERTCrlEntry,revocationDate) },
  91.     { 0 }
  92. };
  94. static const SEC_ASN1Template cert_KrlTemplate[] = {
  95.     { SEC_ASN1_SEQUENCE,
  96.   0, NULL, sizeof(CERTCrl) },
  97.     { SEC_ASN1_INLINE,
  98.   offsetof(CERTCrl,signatureAlg),
  99.   SECOID_AlgorithmIDTemplate },
  100.     { SEC_ASN1_SAVE,
  101.   offsetof(CERTCrl,derName) },
  102.     { SEC_ASN1_INLINE,
  103.   offsetof(CERTCrl,name),
  104.   CERT_NameTemplate },
  105.     { SEC_ASN1_UTC_TIME,
  106.   offsetof(CERTCrl,lastUpdate) },
  107.     { SEC_ASN1_UTC_TIME,
  108.   offsetof(CERTCrl,nextUpdate) },
  109.     { SEC_ASN1_OPTIONAL | SEC_ASN1_SEQUENCE_OF,
  110.   offsetof(CERTCrl,entries),
  111.   cert_KrlEntryTemplate },
  112.     { 0 }
  113. };
  115. static const SEC_ASN1Template cert_SignedKrlTemplate[] = {
  116.     { SEC_ASN1_SEQUENCE,
  117.   0, NULL, sizeof(CERTSignedCrl) },
  118.     { SEC_ASN1_SAVE,
  119.   offsetof(CERTSignedCrl,signatureWrap.data) },
  120.     { SEC_ASN1_INLINE,
  121.   offsetof(CERTSignedCrl,crl),
  122.   cert_KrlTemplate },
  123.     { SEC_ASN1_INLINE,
  124.   offsetof(CERTSignedCrl,signatureWrap.signatureAlgorithm),
  125.   SECOID_AlgorithmIDTemplate },
  126.     { SEC_ASN1_BIT_STRING,
  127.   offsetof(CERTSignedCrl,signatureWrap.signature) },
  128.     { 0 }
  129. };
  131. static const SEC_ASN1Template cert_CrlKeyTemplate[] = {
  132.     { SEC_ASN1_SEQUENCE,
  133.   0, NULL, sizeof(CERTCrlKey) },
  134.     { SEC_ASN1_INTEGER | SEC_ASN1_OPTIONAL, offsetof(CERTCrlKey,dummy) },
  135.     { SEC_ASN1_SKIP },
  136.     { SEC_ASN1_ANY, offsetof(CERTCrlKey,derName) },
  137.     { SEC_ASN1_SKIP_REST },
  138.     { 0 }
  139. };
  141. static const SEC_ASN1Template cert_CrlEntryTemplate[] = {
  142.     { SEC_ASN1_SEQUENCE,
  143.   0, NULL, sizeof(CERTCrlEntry) },
  144.     { SEC_ASN1_INTEGER,
  145.   offsetof(CERTCrlEntry,serialNumber) },
  146.     { SEC_ASN1_UTC_TIME,
  147.   offsetof(CERTCrlEntry,revocationDate) },
  148.     { SEC_ASN1_OPTIONAL | SEC_ASN1_SEQUENCE_OF,
  149.   offsetof(CERTCrlEntry, extensions),
  150.   SEC_CERTExtensionTemplate},
  151.     { 0 }
  152. };
  154. const SEC_ASN1Template CERT_CrlTemplate[] = {
  155.     { SEC_ASN1_SEQUENCE,
  156.   0, NULL, sizeof(CERTCrl) },
  157.     { SEC_ASN1_INTEGER | SEC_ASN1_OPTIONAL, offsetof (CERTCrl, version) },
  158.     { SEC_ASN1_INLINE,
  159.   offsetof(CERTCrl,signatureAlg),
  160.   SECOID_AlgorithmIDTemplate },
  161.     { SEC_ASN1_SAVE,
  162.   offsetof(CERTCrl,derName) },
  163.     { SEC_ASN1_INLINE,
  164.   offsetof(CERTCrl,name),
  165.   CERT_NameTemplate },
  166.     { SEC_ASN1_UTC_TIME,
  167.   offsetof(CERTCrl,lastUpdate) },
  168.     { SEC_ASN1_OPTIONAL | SEC_ASN1_UTC_TIME,
  169.   offsetof(CERTCrl,nextUpdate) },
  170.     { SEC_ASN1_OPTIONAL | SEC_ASN1_SEQUENCE_OF,
  171.   offsetof(CERTCrl,entries),
  172.   cert_CrlEntryTemplate },
  173.     { SEC_ASN1_OPTIONAL | SEC_ASN1_CONSTRUCTED | SEC_ASN1_CONTEXT_SPECIFIC |
  174.   SEC_ASN1_EXPLICIT | 0,
  175.   offsetof(CERTCrl,extensions),
  176.   SEC_CERTExtensionsTemplate},
  177.     { 0 }
  178. };
  180. static const SEC_ASN1Template cert_SignedCrlTemplate[] = {
  181.     { SEC_ASN1_SEQUENCE,
  182.   0, NULL, sizeof(CERTSignedCrl) },
  183.     { SEC_ASN1_SAVE,
  184.   offsetof(CERTSignedCrl,signatureWrap.data) },
  185.     { SEC_ASN1_INLINE,
  186.   offsetof(CERTSignedCrl,crl),
  187.   CERT_CrlTemplate },
  188.     { SEC_ASN1_INLINE,
  189.   offsetof(CERTSignedCrl,signatureWrap.signatureAlgorithm),
  190.   SECOID_AlgorithmIDTemplate },
  191.     { SEC_ASN1_BIT_STRING,
  192.   offsetof(CERTSignedCrl,signatureWrap.signature) },
  193.     { 0 }
  194. };
  196. const SEC_ASN1Template CERT_SetOfSignedCrlTemplate[] = {
  197.     { SEC_ASN1_SET_OF, 0, cert_SignedCrlTemplate },
  198. };
  200. /* Check the version of the CRL.  If there is a critical extension in the crl
  201.    or crl entry, then the version must be v2. Otherwise, it should be v1.  If
  202.    the crl contains critical extension(s), then we must recognized the extension's
  203.    OID.
  204.    */
  205. SECStatus cert_check_crl_version (CERTCrl *crl)
  206. {
  207.     CERTCrlEntry **entries;
  208.     CERTCrlEntry *entry;
  209.     PRBool hasCriticalExten = PR_FALSE;
  210.     SECStatus rv = SECSuccess;
  211.     int version;
  213.     /* CRL version is defaulted to v1 */
  214.     version = SEC_CRL_VERSION_1;
  215.     if (crl->version.data != 0) 
  216. version = (int)DER_GetUInteger (&crl->version);
  218.     if (version > SEC_CRL_VERSION_2) {
  219. PORT_SetError (SEC_ERROR_BAD_DER);
  220. return (SECFailure);
  221.     }
  223.     /* Check the crl extensions for a critial extension.  If one is found,
  224.        and the version is not v2, then we are done.
  225.      */
  226.     if (crl->extensions) {
  227. hasCriticalExten = cert_HasCriticalExtension (crl->extensions);
  228. if (hasCriticalExten) {
  229.     if (version != SEC_CRL_VERSION_2)
  230. return (SECFailure);
  231.     /* make sure that there is no unknown critical extension */
  232.     if (cert_HasUnknownCriticalExten (crl->extensions) == PR_TRUE) {
  233. PORT_SetError (SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION);
  234. return (SECFailure);
  235.     }
  236. }
  237.     }
  240.     if (crl->entries == NULL) {
  241. if (hasCriticalExten == PR_FALSE && version == SEC_CRL_VERSION_2) {
  242.     PORT_SetError (SEC_ERROR_BAD_DER);
  243.     return (SECFailure);
  244. }
  245.         return (SECSuccess);
  246.     }
  247.     /* Look in the crl entry extensions.  If there is a critical extension,
  248.        then the crl version must be v2; otherwise, it should be v1.
  249.      */
  250.     entries = crl->entries;
  251.     while (*entries) {
  252. entry = *entries;
  253. if (entry->extensions) {
  254.     /* If there is a critical extension in the entries, then the
  255.        CRL must be of version 2.  If we already saw a critical extension,
  256.        there is no need to check the version again.
  257.     */
  258.     if (hasCriticalExten == PR_FALSE) {
  259. hasCriticalExten = cert_HasCriticalExtension (entry->extensions);
  260. if (hasCriticalExten && version != SEC_CRL_VERSION_2) { 
  261.     rv = SECFailure;
  262.     break;
  263. }
  264.     }
  266.     /* For each entry, make sure that it does not contain an unknown
  267.        critical extension.  If it does, we must reject the CRL since
  268.        we don't know how to process the extension.
  269.     */
  270.     if (cert_HasUnknownCriticalExten (entry->extensions) == PR_TRUE) {
  271. PORT_SetError (SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION);
  272. rv = SECFailure;
  273. break;
  274.     }
  275. }
  276. ++entries;
  277.     }
  278.     if (rv == SECFailure)
  279. return (rv);
  281.     /* There is no critical extension, but the version is set to v2 */
  282.     if (version != SEC_CRL_VERSION_1 && hasCriticalExten == PR_FALSE) {
  283. PORT_SetError (SEC_ERROR_BAD_DER);
  284. return (SECFailure);
  285.     }
  286.     return (SECSuccess);
  287. }
  289. /*
  290.  * Generate a database key, based on the issuer name from a
  291.  * DER crl.
  292.  */
  293. SECStatus
  294. CERT_KeyFromDERCrl(PRArenaPool *arena, SECItem *derCrl, SECItem *key)
  295. {
  296.     SECStatus rv;
  297.     CERTSignedData sd;
  298.     CERTCrlKey crlkey;
  300.     PORT_Memset (&sd, 0, sizeof (sd));
  301.     rv = SEC_ASN1DecodeItem (arena, &sd, CERT_SignedDataTemplate, derCrl);
  302.     if (rv != SECSuccess) {
  303. return rv;
  304.     }
  306.     PORT_Memset (&crlkey, 0, sizeof (crlkey));
  307.     rv = SEC_ASN1DecodeItem(arena, &crlkey, cert_CrlKeyTemplate, &sd.data);
  308.     if (rv != SECSuccess) {
  309. return rv;
  310.     }
  312.     key->len =  crlkey.derName.len;
  313.     key->data = crlkey.derName.data;
  315.     return(SECSuccess);
  316. }
  318. /*
  319.  * take a DER CRL or KRL  and decode it into a CRL structure
  320.  */
  321. CERTSignedCrl *
  322. CERT_DecodeDERCrl(PRArenaPool *narena, SECItem *derSignedCrl, int type)
  323. {
  324.     PRArenaPool *arena;
  325.     CERTSignedCrl *crl;
  326.     SECStatus rv;
  328.     /* make a new arena */
  329.     if (narena == NULL) {
  330.      arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
  331. if ( !arena ) {
  332.     return NULL;
  333. }
  334.     } else {
  335. arena = narena;
  336.     }
  338.     /* allocate the CRL structure */
  339.     crl = (CERTSignedCrl *)PORT_ArenaZAlloc(arena, sizeof(CERTSignedCrl));
  340.     if ( !crl ) {
  341. goto loser;
  342.     }
  343.     
  344.     crl->arena = arena;
  346.     /* Save the arena in the inner crl for CRL extensions support */
  347.     crl->crl.arena = arena;
  349.     /* decode the CRL info */
  350.     switch (type) {
  351.     case SEC_CRL_TYPE: 
  352. rv = SEC_ASN1DecodeItem
  353.      (arena, crl, cert_SignedCrlTemplate, derSignedCrl);
  354. if (rv != SECSuccess)
  355.     break;
  357. /* If the version is set to v2, make sure that it contains at
  358.    least 1 critical extension either the crl extensions or
  359.    crl entry extensions. */
  360. rv =  cert_check_crl_version (&crl->crl);
  361. break;
  363.     case SEC_KRL_TYPE:
  364. rv = SEC_ASN1DecodeItem
  365.      (arena, crl, cert_SignedKrlTemplate, derSignedCrl);
  366. break;
  367.     default:
  368. rv = SECFailure;
  369. break;
  370.     }
  372.     if (rv != SECSuccess) {
  373. goto loser;
  374.     }
  376.     crl->referenceCount = 1;
  377.     
  378.     return(crl);
  379.     
  380. loser:
  382.     if ((narena == NULL) && arena ) {
  383. PORT_FreeArena(arena, PR_FALSE);
  384.     }
  385.     
  386.     return(0);
  387. }