开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
ocspclnt.c
资源名称:nss-3.1.1.tar.gz [点击查看]
上传用户:lyxiangda
上传日期:2007-01-12
资源大小:3042k
文件大小:31k
源码类别:

CA认证

开发平台:

WINDOWS

ocspclnt.c:源码内容
  1. /*
  2.  * The contents of this file are subject to the Mozilla Public
  3.  * License Version 1.1 (the "License"); you may not use this file
  4.  * except in compliance with the License. You may obtain a copy of
  5.  * the License at http://www.mozilla.org/MPL/
  6.  * 
  7.  * Software distributed under the License is distributed on an "AS
  8.  * IS" basis, WITHOUT WARRANTY OF ANY KIND, either express or
  9.  * implied. See the License for the specific language governing
  10.  * rights and limitations under the License.
  11.  * 
  12.  * The Original Code is the Netscape security libraries.
  13.  * 
  14.  * The Initial Developer of the Original Code is Netscape
  15.  * Communications Corporation.  Portions created by Netscape are 
  16.  * Copyright (C) 1994-2000 Netscape Communications Corporation.  All
  17.  * Rights Reserved.
  18.  * 
  19.  * Contributor(s):
  20.  * 
  21.  * Alternatively, the contents of this file may be used under the
  22.  * terms of the GNU General Public License Version 2 or later (the
  23.  * "GPL"), in which case the provisions of the GPL are applicable 
  24.  * instead of those above.  If you wish to allow use of your 
  25.  * version of this file only under the terms of the GPL and not to
  26.  * allow others to use your version of this file under the MPL,
  27.  * indicate your decision by deleting the provisions above and
  28.  * replace them with the notice and other provisions required by
  29.  * the GPL.  If you do not delete the provisions above, a recipient
  30.  * may use your version of this file under either the MPL or the
  31.  * GPL.
  32.  */
  34. /*
  35.  * Test program for client-side OCSP.
  36.  *
  37.  * $Id: ocspclnt.c,v 1.1 2000/03/31 20:09:29 relyea%netscape.com Exp $
  38.  */
  40. #include "secutil.h"
  41. #include "nspr.h"
  42. #include "plgetopt.h"
  43. #include "nss.h"
  44. #include "cert.h"
  45. #include "ocsp.h"
  46. #include "xconst.h" /*
  47.  * XXX internal header file; needed to get at
  48.  * cert_DecodeAuthInfoAccessExtension -- would be
  49.  * nice to not need this, but that would require
  50.  * better/different APIs.
  51.  */
  53. #ifndef NO_PP /*
  54.  * Compile with this every once in a while to be
  55.  * sure that no dependencies on it get added
  56.  * outside of the pretty-printing routines.
  57.  */
  58. #include "ocspti.h" /* internals for pretty-printing routines *only* */
  59. #endif /* NO_PP */
  61. #define DEFAULT_DB_DIR "~/.netscape"
  64. static void
  65. synopsis (char *program_name)
  66. {
  67.     PRFileDesc *pr_stderr;
  69.     pr_stderr = PR_STDERR;
  70.     PR_fprintf (pr_stderr, "Usage:");
  71.     PR_fprintf (pr_stderr,
  72. "t%s -p [-d <dir>]n",
  73. program_name);
  74.     PR_fprintf (pr_stderr,
  75. "t%s -P [-d <dir>]n",
  76. program_name);
  77.     PR_fprintf (pr_stderr,
  78. "t%s -r <name> [-L] [-s <name>] [-d <dir>]n",
  79. program_name);
  80.     PR_fprintf (pr_stderr,
  81. "t%s -R <name> [-l <location>] [-s <name>] [-d <dir>]n",
  82. program_name);
  83.     PR_fprintf (pr_stderr,
  84. "t%s -S <name> [-l <location> -t <name>]n",
  85. program_name);
  86.     PR_fprintf (pr_stderr,
  87. "tt [-s <name>] [-w <time>] [-d <dir>]n");
  88.     PR_fprintf (pr_stderr,
  89. "t%s -V <name> -u <usage> [-l <location> -t <name>]n",
  90. program_name);
  91.     PR_fprintf (pr_stderr,
  92. "tt [-s <name>] [-w <time>] [-d <dir>]n");
  93. }
  96. static void
  97. short_usage (char *program_name)
  98. {
  99.     PR_fprintf (PR_STDERR,
  100. "Type %s -H for more detailed descriptionsn",
  101. program_name);
  102.     synopsis (program_name);
  103. }
  106. static void
  107. long_usage (char *program_name)
  108. {
  109.     PRFileDesc *pr_stderr;
  111.     pr_stderr = PR_STDERR;
  112.     synopsis (program_name);
  113.     PR_fprintf (pr_stderr, "nCommands (must specify exactly one):n");
  114.     PR_fprintf (pr_stderr,
  115. "  %-13s Pretty-print a binary request read from stdinn",
  116. "-p");
  117.     PR_fprintf (pr_stderr,
  118. "  %-13s Pretty-print a binary response read from stdinn",
  119. "-P");
  120.     PR_fprintf (pr_stderr,
  121. "  %-13s Create a request for cert "nickname" on stdoutn",
  122. "-r nickname");
  123.     PR_fprintf (pr_stderr,
  124. "  %-13s Get response for cert "nickname", dump to stdoutn",
  125. "-R nickname");
  126.     PR_fprintf (pr_stderr,
  127. "  %-13s Get status for cert "nickname"n",
  128. "-S nickname");
  129.     PR_fprintf (pr_stderr,
  130. "  %-13s Fully verify cert "nickname", w/ status checkn",
  131. "-V nickname");
  132.     PR_fprintf (pr_stderr, "Options:n");
  133.     PR_fprintf (pr_stderr,
  134. "  %-13s Add the service locator extension to the requestn",
  135. "-L");
  136.     PR_fprintf (pr_stderr,
  137. "  %-13s Find security databases in "dbdir" (default %s)n",
  138. "-d dbdir", DEFAULT_DB_DIR);
  139.     PR_fprintf (pr_stderr,
  140. "  %-13s Use "location" as URL of respondern",
  141. "-l location");
  142.     PR_fprintf (pr_stderr,
  143. "  %-13s Trust cert "nickname" as response signern",
  144. "-t nickname");
  145.     PR_fprintf (pr_stderr,
  146. "  %-13s Sign requests with cert "nickname"n",
  147. "-s nickname");
  148.     PR_fprintf (pr_stderr,
  149. "  %-13s Type of certificate usage for verification:n",
  150. "-u usage");
  151.     PR_fprintf (pr_stderr,
  152. "%-17s c   SSL Clientn", "");
  153.     PR_fprintf (pr_stderr,
  154. "%-17s s   SSL Servern", "");
  155.     PR_fprintf (pr_stderr,
  156. "%-17s e   Email Recipientn", "");
  157.     PR_fprintf (pr_stderr,
  158. "%-17s E   Email Signern", "");
  159.     PR_fprintf (pr_stderr,
  160. "%-17s S   Object Signern", "");
  161.     PR_fprintf (pr_stderr,
  162. "%-17s C   CAn", "");
  163.     PR_fprintf (pr_stderr,
  164. "  %-13s Validity time (default current time), one of:n",
  165. "-w time");
  166.     PR_fprintf (pr_stderr,
  167. "%-17s %-25s (GMT)n", "", "YYMMDDhhmm[ss]Z");
  168.     PR_fprintf (pr_stderr,
  169. "%-17s %-25s (later than GMT)n", "", "YYMMDDhhmm[ss]+hhmm");
  170.     PR_fprintf (pr_stderr,
  171. "%-17s %-25s (earlier than GMT)n", "", "YYMMDDhhmm[ss]-hhmm");
  172. }
  175. /*
  176.  * XXX This is a generic function that would probably make a good
  177.  * replacement for SECU_DER_Read (which is not at all specific to DER,
  178.  * despite its name), but that requires fixing all of the tools...
  179.  * Still, it should be done, whenenver I/somebody has the time.
  180.  * (Also, consider whether this actually belongs in the security
  181.  * library itself, not just in the command library.)
  182.  *
  183.  * This function takes an open file (a PRFileDesc *) and reads the
  184.  * entire file into a SECItem.  (Obviously, the file is intended to
  185.  * be small enough that such a thing is advisable.)  Both the SECItem
  186.  * and the buffer it points to are allocated from the heap; the caller
  187.  * is expected to free them.  ("SECITEM_FreeItem(item, PR_TRUE)")
  188.  */
  189. static SECItem *
  190. read_file_into_item (PRFileDesc *in_file, SECItemType si_type)
  191. {
  192.     PRStatus  prv;
  193.     SECItem  *item;
  194.     PRFileInfo  file_info;
  195.     PRInt32  bytes_read;
  197.     prv = PR_GetOpenFileInfo (in_file, &file_info);
  198.     if (prv != PR_SUCCESS)
  199. return NULL;
  201.     if (file_info.size ==  0) {
  202. /* XXX Need a better error; just grabbed this one for expediency. */
  203. PORT_SetError (SEC_ERROR_INPUT_LEN);
  204. return NULL;
  205.     }
  207.     if (file_info.size > 0xffff) { /* I think this is too big. */
  208. PORT_SetError (SEC_ERROR_NO_MEMORY);
  209. return NULL;
  210.     }
  212.     item = PORT_Alloc (sizeof (SECItem));
  213.     if (item == NULL)
  214. return NULL;
  216.     item->type = si_type;
  217.     item->len = (unsigned int) file_info.size;
  218.     item->data = PORT_Alloc ((size_t)item->len);
  219.     if (item->data == NULL)
  220. goto loser;
  222.     bytes_read = PR_Read (in_file, item->data, (PRInt32) item->len);
  223.     if (bytes_read < 0) {
  224. /* Something went wrong; error is already set for us. */
  225. goto loser;
  226.     } else if (bytes_read == 0) {
  227. /* Something went wrong; we read nothing.  But no system/nspr error. */
  228. /* XXX Need to set an error here. */
  229. goto loser;
  230.     } else if (item->len != (unsigned int)bytes_read) {
  231. /* Something went wrong; we read less (or more!?) than we expected. */
  232. /* XXX Need to set an error here. */
  233. goto loser;
  234.     }
  236.     return item;
  238. loser:
  239.     SECITEM_FreeItem (item, PR_TRUE);
  240.     return NULL;
  241. }
  244. /*
  245.  * Create a DER-encoded OCSP request (for the certificate whose nickname
  246.  * is "name") and dump it out.
  247.  */
  248. static SECStatus
  249. create_request (FILE *out_file, CERTCertDBHandle *handle, const char *cert_name,
  250. PRBool add_service_locator, PRBool add_acceptable_responses)
  251. {
  252.     CERTCertificate *cert = NULL;
  253.     CERTCertList *certs = NULL;
  254.     CERTOCSPRequest *request = NULL;
  255.     int64 now = PR_Now();
  256.     SECItem *encoding = NULL;
  257.     SECStatus rv = SECFailure;
  259.     if (handle == NULL || cert_name == NULL)
  260. goto loser;
  262.     cert = CERT_FindCertByNicknameOrEmailAddr (handle, (char *) cert_name);
  263.     if (cert == NULL)
  264. goto loser;
  266.     /*
  267.      * We need to create a list of one.
  268.      */
  269.     certs = CERT_NewCertList();
  270.     if (certs == NULL)
  271. goto loser;
  273.     if (CERT_AddCertToListTail (certs, cert) != SECSuccess)
  274. goto loser;
  276.     /*
  277.      * Now that cert is included in the list, we need to be careful
  278.      * that we do not try to destroy it twice.  This will prevent that.
  279.      */
  280.     cert = NULL;
  282.     request = CERT_CreateOCSPRequest (certs, now, add_service_locator, NULL);
  283.     if (request == NULL)
  284. goto loser;
  286.     if (add_acceptable_responses) {
  287. rv = CERT_AddOCSPAcceptableResponses(request,
  288.      SEC_OID_PKIX_OCSP_BASIC_RESPONSE);
  289. if (rv != SECSuccess)
  290.     goto loser;
  291.     }
  293.     encoding = CERT_EncodeOCSPRequest (NULL, request, NULL);
  294.     if (encoding == NULL)
  295. goto loser;
  297.     if (fwrite (encoding->data, encoding->len, 1, out_file) != 1)
  298. goto loser;
  300.     rv = SECSuccess;
  302. loser:
  303.     if (encoding != NULL)
  304. SECITEM_FreeItem(encoding, PR_TRUE);
  305.     if (request != NULL)
  306. CERT_DestroyOCSPRequest(request);
  307.     if (certs != NULL)
  308. CERT_DestroyCertList (certs);
  309.     if (cert != NULL)
  310. CERT_DestroyCertificate (cert);
  312.     return rv;
  313. }
  316. /*
  317.  * Create a DER-encoded OCSP request (for the certificate whose nickname is
  318.  * "cert_name"), then get and dump a corresponding response.  The responder
  319.  * location is either specified explicitly (as "responder_url") or found
  320.  * via the AuthorityInfoAccess URL in the cert.
  321.  */
  322. static SECStatus
  323. dump_response (FILE *out_file, CERTCertDBHandle *handle, const char *cert_name,
  324.        const char *responder_url)
  325. {
  326.     CERTCertificate *cert = NULL;
  327.     CERTCertList *certs = NULL;
  328.     char *loc = NULL;
  329.     int64 now = PR_Now();
  330.     SECItem *response = NULL;
  331.     SECStatus rv = SECFailure;
  332.     PRBool includeServiceLocator;
  334.     if (handle == NULL || cert_name == NULL)
  335. goto loser;
  337.     cert = CERT_FindCertByNicknameOrEmailAddr (handle, (char *) cert_name);
  338.     if (cert == NULL)
  339. goto loser;
  341.     if (responder_url != NULL) {
  342. loc = (char *) responder_url;
  343. includeServiceLocator = PR_TRUE;
  344.     } else {
  345. loc = CERT_GetOCSPAuthorityInfoAccessLocation (cert);
  346. if (loc == NULL)
  347.     goto loser;
  348. includeServiceLocator = PR_FALSE;
  349.     }
  351.     /*
  352.      * We need to create a list of one.
  353.      */
  354.     certs = CERT_NewCertList();
  355.     if (certs == NULL)
  356. goto loser;
  358.     if (CERT_AddCertToListTail (certs, cert) != SECSuccess)
  359. goto loser;
  361.     /*
  362.      * Now that cert is included in the list, we need to be careful
  363.      * that we do not try to destroy it twice.  This will prevent that.
  364.      */
  365.     cert = NULL;
  367.     response = CERT_GetEncodedOCSPResponse (NULL, certs, loc, now,
  368.     includeServiceLocator,
  369.     NULL, NULL, NULL);
  370.     if (response == NULL)
  371. goto loser;
  373.     if (fwrite (response->data, response->len, 1, out_file) != 1)
  374. goto loser;
  376.     rv = SECSuccess;
  378. loser:
  379.     if (response != NULL)
  380. SECITEM_FreeItem (response, PR_TRUE);
  381.     if (certs != NULL)
  382. CERT_DestroyCertList (certs);
  383.     if (loc != NULL && loc != responder_url)
  384. PORT_Free (loc);
  385.     if (cert != NULL)
  386. CERT_DestroyCertificate (cert);
  388.     return rv;
  389. }
  392. /*
  393.  * Get the status for the specified certificate (whose nickname is "cert_name").
  394.  * Directly use the OCSP function rather than doing a full verification.
  395.  */
  396. static SECStatus
  397. get_cert_status (FILE *out_file, CERTCertDBHandle *handle,
  398.  const char *cert_name, int64 verify_time)
  399. {
  400.     CERTCertificate *cert = NULL;
  401.     SECStatus rv = SECFailure;
  403.     if (handle == NULL || cert_name == NULL)
  404. goto loser;
  406.     cert = CERT_FindCertByNicknameOrEmailAddr (handle, (char *) cert_name);
  407.     if (cert == NULL)
  408. goto loser;
  410.     rv = CERT_CheckOCSPStatus (handle, cert, verify_time, NULL);
  412.     fprintf (out_file, "Check of certificate "%s" ", cert_name); 
  413.     if (rv == SECSuccess) {
  414. fprintf (out_file, "succeeded.n"); 
  415.     } else {
  416. const char *error_string = SECU_Strerror(PORT_GetError());
  417. fprintf (out_file, "failed.  Reason:n");
  418. if (error_string != NULL && PORT_Strlen(error_string) > 0)
  419.     fprintf (out_file, "%sn", error_string);
  420. else
  421.     fprintf (out_file, "Unknownn");
  422.     }
  424.     rv = SECSuccess;
  426. loser:
  427.     if (cert != NULL)
  428. CERT_DestroyCertificate (cert);
  430.     return rv;
  431. }
  434. /*
  435.  * Verify the specified certificate (whose nickname is "cert_name").
  436.  * OCSP is already turned on, so we just need to call the standard
  437.  * certificate verification API and let it do all the work.
  438.  */
  439. static SECStatus
  440. verify_cert (FILE *out_file, CERTCertDBHandle *handle, const char *cert_name,
  441.      SECCertUsage cert_usage, int64 verify_time)
  442. {
  443.     CERTCertificate *cert = NULL;
  444.     SECStatus rv = SECFailure;
  446.     if (handle == NULL || cert_name == NULL)
  447. goto loser;
  449.     cert = CERT_FindCertByNicknameOrEmailAddr (handle, (char *) cert_name);
  450.     if (cert == NULL)
  451. goto loser;
  453.     rv = CERT_VerifyCert (handle, cert, PR_TRUE, cert_usage, verify_time,
  454.   NULL, NULL);
  456.     fprintf (out_file, "Verification of certificate "%s" ", cert_name); 
  457.     if (rv == SECSuccess) {
  458. fprintf (out_file, "succeeded.n"); 
  459.     } else {
  460. const char *error_string = SECU_Strerror(PORT_GetError());
  461. fprintf (out_file, "failed.  Reason:n");
  462. if (error_string != NULL && PORT_Strlen(error_string) > 0)
  463.     fprintf (out_file, "%sn", error_string);
  464. else
  465.     fprintf (out_file, "Unknownn");
  466.     }
  468.     rv = SECSuccess;
  470. loser:
  471.     if (cert != NULL)
  472. CERT_DestroyCertificate (cert);
  474.     return rv;
  475. }
  478. #ifdef NO_PP
  480. static SECStatus
  481. print_request (FILE *out_file, SECItem *data)
  482. {
  483.     fprintf (out_file, "Cannot pretty-print request compiled with NO_PP.n");
  484.     return SECSuccess;
  485. }
  487. static SECStatus
  488. print_response (FILE *out_file, SECItem *data, CERTCertDBHandle *handle)
  489. {
  490.     fprintf (out_file, "Cannot pretty-print response compiled with NO_PP.n");
  491.     return SECSuccess;
  492. }
  494. #else /* NO_PP */
  496. static void
  497. print_ocsp_version (FILE *out_file, SECItem *version, int level)
  498. {
  499.     if (version->len > 0) {
  500. SECU_PrintInteger (out_file, version, "Version", level);
  501.     } else {
  502. SECU_Indent (out_file, level);
  503. fprintf (out_file, "Version: DEFAULTn");
  504.     }
  505. }
  508. static void
  509. print_ocsp_cert_id (FILE *out_file, CERTOCSPCertID *cert_id, int level)
  510. {
  511.     SECU_Indent (out_file, level);
  512.     fprintf (out_file, "Cert ID:n");
  513.     level++;
  515.     SECU_PrintAlgorithmID (out_file, &(cert_id->hashAlgorithm),
  516.    "Hash Algorithm", level);
  517.     SECU_PrintAsHex (out_file, &(cert_id->issuerNameHash),
  518.      "Issuer Name Hash", level);
  519.     SECU_PrintAsHex (out_file, &(cert_id->issuerKeyHash),
  520.      "Issuer Key Hash", level);
  521.     SECU_PrintInteger (out_file, &(cert_id->serialNumber),
  522.        "Serial Number", level);
  523.     /* XXX lookup the cert; if found, print something nice (nickname?) */
  524. }
  527. static void
  528. print_raw_certificates (FILE *out_file, SECItem **raw_certs, int level)
  529. {
  530.     SECItem *raw_cert;
  531.     int i = 0;
  532.     char cert_label[50];
  534.     SECU_Indent (out_file, level);
  536.     if (raw_certs == NULL) {
  537. fprintf (out_file, "No Certificates.n");
  538. return;
  539.     }
  541.     fprintf (out_file, "Certificate List:n");
  542.     while ((raw_cert = raw_certs[i++]) != NULL) {
  543. sprintf (cert_label, "Certificate (%d)", i);
  544. (void) SECU_PrintSignedData (out_file, raw_cert, cert_label, level + 1,
  545.      SECU_PrintCertificate);
  546.     }
  547. }
  550. static void
  551. print_ocsp_extensions (FILE *out_file, CERTCertExtension **extensions,
  552.        char *msg, int level)
  553. {
  554.     if (extensions) {
  555. SECU_PrintExtensions (out_file, extensions, msg, level);
  556.     } else {
  557. SECU_Indent (out_file, level);
  558. fprintf (out_file, "No %sn", msg);
  559.     }
  560. }
  563. static void
  564. print_single_request (FILE *out_file, ocspSingleRequest *single, int level)
  565. {
  566.     print_ocsp_cert_id (out_file, single->reqCert, level);
  567.     print_ocsp_extensions (out_file, single->singleRequestExtensions,
  568.    "Single Request Extensions", level);
  569. }
  572. /*
  573.  * Decode the DER/BER-encoded item "data" as an OCSP request
  574.  * and pretty-print the subfields.
  575.  */
  576. static SECStatus
  577. print_request (FILE *out_file, SECItem *data)
  578. {
  579.     CERTOCSPRequest *request;
  580.     ocspTBSRequest *tbsRequest;
  581.     int level = 0;
  583.     PORT_Assert (out_file != NULL);
  584.     PORT_Assert (data != NULL);
  585.     if (out_file == NULL || data == NULL) {
  586. PORT_SetError (SEC_ERROR_INVALID_ARGS);
  587. return SECFailure;
  588.     }
  590.     request = CERT_DecodeOCSPRequest (data);
  591.     if (request == NULL || request->tbsRequest == NULL)
  592. return SECFailure;
  594.     tbsRequest = request->tbsRequest;
  596.     fprintf (out_file, "TBS Request:n");
  597.     level++;
  599.     print_ocsp_version (out_file, &(tbsRequest->version), level);
  601.     /*
  602.      * XXX Probably should be an interface to get the signer name
  603.      * without looking inside the tbsRequest at all.
  604.      */
  605.     if (tbsRequest->requestorName != NULL) {
  606. SECU_Indent (out_file, level);
  607. fprintf (out_file, "XXX print the requestorNamen");
  608.     } else {
  609. SECU_Indent (out_file, level);
  610. fprintf (out_file, "No Requestor Name.n");
  611.     }
  613.     if (tbsRequest->requestList != NULL) {
  614. int i;
  616. for (i = 0; tbsRequest->requestList[i] != NULL; i++) {
  617.     SECU_Indent (out_file, level);
  618.     fprintf (out_file, "Request %d:n", i);
  619.     print_single_request (out_file, tbsRequest->requestList[i],
  620.   level + 1);
  621. }
  622.     } else {
  623. fprintf (out_file, "Request list is empty.n");
  624.     }
  626.     print_ocsp_extensions (out_file, tbsRequest->requestExtensions,
  627.    "Request Extensions", level);
  629.     if (request->optionalSignature != NULL) {
  630. ocspSignature *whole_sig;
  631. SECItem rawsig;
  633. fprintf (out_file, "Signature:n");
  635. whole_sig = request->optionalSignature;
  636. SECU_PrintAlgorithmID (out_file, &(whole_sig->signatureAlgorithm),
  637.        "Signature Algorithm", level);
  639. rawsig = whole_sig->signature;
  640. DER_ConvertBitString (&rawsig);
  641. SECU_PrintAsHex (out_file, &rawsig, "Signature", level);
  643. print_raw_certificates (out_file, whole_sig->derCerts, level);
  645. fprintf (out_file, "XXX verify the sig and print resultn");
  646.     } else {
  647. fprintf (out_file, "No Signaturen");
  648.     }
  650.     CERT_DestroyOCSPRequest (request);
  651.     return SECSuccess;
  652. }
  655. static void
  656. print_revoked_info (FILE *out_file, ocspRevokedInfo *revoked_info, int level)
  657. {
  658.     SECU_PrintGeneralizedTime (out_file, &(revoked_info->revocationTime),
  659.        "Revocation Time", level);
  661.     if (revoked_info->revocationReason != NULL) {
  662. SECU_PrintAsHex (out_file, revoked_info->revocationReason,
  663.  "Revocation Reason", level);
  664.     } else {
  665. SECU_Indent (out_file, level);
  666. fprintf (out_file, "No Revocation Reason.n");
  667.     }
  668. }
  671. static void
  672. print_cert_status (FILE *out_file, ocspCertStatus *status, int level)
  673. {
  674.     SECU_Indent (out_file, level);
  675.     fprintf (out_file, "Status: ");
  677.     switch (status->certStatusType) {
  678.       case ocspCertStatus_good:
  679. fprintf (out_file, "Cert is good.n");
  680. break;
  681.       case ocspCertStatus_revoked:
  682. fprintf (out_file, "Cert has been revoked.n");
  683. print_revoked_info (out_file, status->certStatusInfo.revokedInfo,
  684.     level + 1);
  685. break;
  686.       case ocspCertStatus_unknown:
  687. fprintf (out_file, "Cert is unknown to responder.n");
  688. break;
  689.       default:
  690. fprintf (out_file, "Unrecognized status.n");
  691. break;
  692.     }
  693. }
  696. static void
  697. print_single_response (FILE *out_file, CERTOCSPSingleResponse *single,
  698.        int level)
  699. {
  700.     print_ocsp_cert_id (out_file, single->certID, level);
  702.     print_cert_status (out_file, single->certStatus, level);
  704.     SECU_PrintGeneralizedTime (out_file, &(single->thisUpdate),
  705.        "This Update", level);
  707.     if (single->nextUpdate != NULL) {
  708. SECU_PrintGeneralizedTime (out_file, single->nextUpdate,
  709.    "Next Update", level);
  710.     } else {
  711. SECU_Indent (out_file, level);
  712. fprintf (out_file, "No Next Updaten");
  713.     }
  715.     print_ocsp_extensions (out_file, single->singleExtensions,
  716.    "Single Response Extensions", level);
  717. }
  720. static void
  721. print_responder_id (FILE *out_file, ocspResponderID *responderID, int level)
  722. {
  723.     SECU_Indent (out_file, level);
  724.     fprintf (out_file, "Responder ID ");
  726.     switch (responderID->responderIDType) {
  727.       case ocspResponderID_byName:
  728. fprintf (out_file, "(byName):n");
  729. SECU_PrintName (out_file, &(responderID->responderIDValue.name),
  730. "Name", level + 1);
  731. break;
  732.       case ocspResponderID_byKey:
  733. fprintf (out_file, "(byKey):n");
  734. SECU_PrintAsHex (out_file, &(responderID->responderIDValue.keyHash),
  735.  "Key Hash", level + 1);
  736. break;
  737.       default:
  738. fprintf (out_file, "Unrecognized Responder ID Typen");
  739. break;
  740.     }
  741. }
  744. static void
  745. print_response_data (FILE *out_file, ocspResponseData *responseData, int level)
  746. {
  747.     SECU_Indent (out_file, level);
  748.     fprintf (out_file, "Response Data:n");
  749.     level++;
  751.     print_ocsp_version (out_file, &(responseData->version), level);
  753.     print_responder_id (out_file, responseData->responderID, level);
  755.     SECU_PrintGeneralizedTime (out_file, &(responseData->producedAt),
  756.        "Produced At", level);
  758.     if (responseData->responses != NULL) {
  759. int i;
  761. for (i = 0; responseData->responses[i] != NULL; i++) {
  762.     SECU_Indent (out_file, level);
  763.     fprintf (out_file, "Response %d:n", i);
  764.     print_single_response (out_file, responseData->responses[i],
  765.    level + 1);
  766. }
  767.     } else {
  768. fprintf (out_file, "Response list is empty.n");
  769.     }
  771.     print_ocsp_extensions (out_file, responseData->responseExtensions,
  772.    "Response Extensions", level);
  773. }
  776. static void
  777. print_basic_response (FILE *out_file, ocspBasicOCSPResponse *basic, int level)
  778. {
  779.     SECItem rawsig;
  781.     SECU_Indent (out_file, level);
  782.     fprintf (out_file, "Basic OCSP Response:n");
  783.     level++;
  785.     print_response_data (out_file, basic->tbsResponseData, level);
  787.     SECU_PrintAlgorithmID (out_file,
  788.    &(basic->responseSignature.signatureAlgorithm),
  789.    "Signature Algorithm", level);
  791.     rawsig = basic->responseSignature.signature;
  792.     DER_ConvertBitString (&rawsig);
  793.     SECU_PrintAsHex (out_file, &rawsig, "Signature", level);
  795.     print_raw_certificates (out_file, basic->responseSignature.derCerts, level);
  796. }
  799. /*
  800.  * Note this must match (exactly) the enumeration ocspResponseStatus.
  801.  */
  802. static char *responseStatusNames[] = {
  803.     "successful (Response has valid confirmations)",
  804.     "malformedRequest (Illegal confirmation request)",
  805.     "internalError (Internal error in issuer)",
  806.     "tryLater (Try again later)",
  807.     "unused ((4) is not used)",
  808.     "sigRequired (Must sign the request)",
  809.     "unauthorized (Request unauthorized)",
  810.     "other (Status value out of defined range)"
  811. };
  813. /*
  814.  * Decode the DER/BER-encoded item "data" as an OCSP response
  815.  * and pretty-print the subfields.
  816.  */
  817. static SECStatus
  818. print_response (FILE *out_file, SECItem *data, CERTCertDBHandle *handle)
  819. {
  820.     CERTOCSPResponse *response;
  821.     int level = 0;
  823.     PORT_Assert (out_file != NULL);
  824.     PORT_Assert (data != NULL);
  825.     if (out_file == NULL || data == NULL) {
  826. PORT_SetError (SEC_ERROR_INVALID_ARGS);
  827. return SECFailure;
  828.     }
  830.     response = CERT_DecodeOCSPResponse (data);
  831.     if (response == NULL)
  832. return SECFailure;
  834.     PORT_Assert (response->statusValue <= ocspResponse_other);
  835.     fprintf (out_file, "Response Status: %sn",
  836.      responseStatusNames[response->statusValue]);
  838.     if (response->statusValue == ocspResponse_successful) {
  839. ocspResponseBytes *responseBytes = response->responseBytes;
  840. SECStatus sigStatus;
  841. CERTCertificate *signerCert = NULL;
  843. PORT_Assert (responseBytes != NULL);
  845. level++;
  846. fprintf (out_file, "Response Bytes:n");
  847. SECU_PrintObjectID (out_file, &(responseBytes->responseType),
  848.     "Response Type", level);
  849. switch (response->responseBytes->responseTypeTag) {
  850.   case SEC_OID_PKIX_OCSP_BASIC_RESPONSE:
  851.     print_basic_response (out_file,
  852.   responseBytes->decodedResponse.basic,
  853.   level);
  854.     break;
  855.   default:
  856.     SECU_Indent (out_file, level);
  857.     fprintf (out_file, "Unknown response syntaxn");
  858.     break;
  859. }
  861. sigStatus = CERT_VerifyOCSPResponseSignature (response, handle,
  862.       NULL, &signerCert);
  863. SECU_Indent (out_file, level);
  864. fprintf (out_file, "Signature verification ");
  865. if (sigStatus != SECSuccess) {
  866.     fprintf (out_file, "failed: %sn", SECU_Strerror (PORT_GetError()));
  867. } else {
  868.     fprintf (out_file, "succeeded.n");
  869.     if (signerCert != NULL) {
  870. SECU_PrintName (out_file, &signerCert->subject, "Signer",
  871. level);
  872. CERT_DestroyCertificate (signerCert);
  873.     } else {
  874. SECU_Indent (out_file, level);
  875. fprintf (out_file, "No signer cert returned?n");
  876.     }
  877. }
  878.     } else {
  879. SECU_Indent (out_file, level);
  880. fprintf (out_file, "Unsuccessful response, no more information.n");
  881.     }
  883.     CERT_DestroyOCSPResponse (response);
  884.     return SECSuccess;
  885. }
  887. #endif /* NO_PP */
  890. static SECStatus
  891. cert_usage_from_char (const char *cert_usage_str, SECCertUsage *cert_usage)
  892. {
  893.     PORT_Assert (cert_usage_str != NULL);
  894.     PORT_Assert (cert_usage != NULL);
  896.     if (PORT_Strlen (cert_usage_str) != 1)
  897. return SECFailure;
  899.     switch (*cert_usage_str) {
  900.       case 'c':
  901. *cert_usage = certUsageSSLClient;
  902. break;
  903.       case 's':
  904. *cert_usage = certUsageSSLServer;
  905. break;
  906.       case 'e':
  907. *cert_usage = certUsageEmailRecipient;
  908. break;
  909.       case 'E':
  910. *cert_usage = certUsageEmailSigner;
  911. break;
  912.       case 'S':
  913. *cert_usage = certUsageObjectSigner;
  914. break;
  915.       case 'C':
  916. *cert_usage = certUsageVerifyCA;
  917. break;
  918.       default:
  919. return SECFailure;
  920.     }
  922.     return SECSuccess;
  923. }
  926. int
  927. main (int argc, char **argv)
  928. {
  929.     int  retval;
  930.     char *program_name;
  931.     PRFileDesc *in_file;
  932.     FILE *out_file; /* not PRFileDesc until SECU accepts it */
  933.     int  crequest, dresponse;
  934.     int  prequest, presponse;
  935.     int  ccert, vcert;
  936.     const char *db_dir, *date_str, *cert_usage_str, *name;
  937.     const char *responder_name, *responder_url, *signer_name;
  938.     PRBool  add_acceptable_responses, add_service_locator;
  939.     SECItem *data = NULL;
  940.     PLOptState *optstate;
  941.     SECStatus  rv;
  942.     CERTCertDBHandle *handle = NULL;
  943.     SECCertUsage cert_usage;
  944.     int64  verify_time;
  946.     retval = -1; /* what we return/exit with on error */
  948.     program_name = PL_strrchr(argv[0], '/');
  949.     program_name = program_name ? (program_name + 1) : argv[0];
  951.     in_file = PR_STDIN;
  952.     out_file = stdout;
  954.     crequest = 0;
  955.     dresponse = 0;
  956.     prequest = 0;
  957.     presponse = 0;
  958.     ccert = 0;
  959.     vcert = 0;
  961.     db_dir = NULL;
  962.     date_str = NULL;
  963.     cert_usage_str = NULL;
  964.     name = NULL;
  965.     responder_name = NULL;
  966.     responder_url = NULL;
  967.     signer_name = NULL;
  969.     add_acceptable_responses = PR_FALSE;
  970.     add_service_locator = PR_FALSE;
  972.     optstate = PL_CreateOptState (argc, argv, "AHLPR:S:V:d:l:pr:s:t:u:w:");
  973.     if (optstate == NULL) {
  974. SECU_PrintError (program_name, "PL_CreateOptState failed");
  975. return retval;
  976.     }
  978.     while (PL_GetNextOpt (optstate) == PL_OPT_OK) {
  979. switch (optstate->option) {
  980.   case '?':
  981.     short_usage (program_name);
  982.     return retval;
  984.   case 'A':
  985.     add_acceptable_responses = PR_TRUE;
  986.     break;
  988.   case 'H':
  989.     long_usage (program_name);
  990.     return retval;
  992.   case 'L':
  993.     add_service_locator = PR_TRUE;
  994.     break;
  996.   case 'P':
  997.     presponse = 1;
  998.     break;
  1000.   case 'R':
  1001.     dresponse = 1;
  1002.     name = optstate->value;
  1003.     break;
  1005.   case 'S':
  1006.     ccert = 1;
  1007.     name = optstate->value;
  1008.     break;
  1010.   case 'V':
  1011.     vcert = 1;
  1012.     name = optstate->value;
  1013.     break;
  1015.   case 'd':
  1016.     db_dir = optstate->value;
  1017.     break;
  1019.   case 'l':
  1020.     responder_url = optstate->value;
  1021.     break;
  1023.   case 'p':
  1024.     prequest = 1;
  1025.     break;
  1027.   case 'r':
  1028.     crequest = 1;
  1029.     name = optstate->value;
  1030.     break;
  1032.   case 's':
  1033.     signer_name = optstate->value;
  1034.     break;
  1036.   case 't':
  1037.     responder_name = optstate->value;
  1038.     break;
  1040.   case 'u':
  1041.     cert_usage_str = optstate->value;
  1042.     break;
  1044.   case 'w':
  1045.     date_str = optstate->value;
  1046.     break;
  1047. }
  1048.     }
  1050.     if ((crequest + dresponse + prequest + presponse + ccert + vcert) != 1) {
  1051. PR_fprintf (PR_STDERR, "%s: must specify exactly one commandnn",
  1052.     program_name);
  1053. short_usage (program_name);
  1054. return retval;
  1055.     }
  1057.     if (vcert) {
  1058. if (cert_usage_str == NULL) {
  1059.     PR_fprintf (PR_STDERR, "%s: verification requires cert usagenn",
  1060. program_name);
  1061.     short_usage (program_name);
  1062.     return retval;
  1063. }
  1065. rv = cert_usage_from_char (cert_usage_str, &cert_usage);
  1066. if (rv != SECSuccess) {
  1067.     PR_fprintf (PR_STDERR, "%s: invalid cert usage ("%s")nn",
  1068. program_name, cert_usage_str);
  1069.     long_usage (program_name);
  1070.     return retval;
  1071. }
  1072.     }
  1074.     if (ccert + vcert) {
  1075. if (responder_url != NULL || responder_name != NULL) {
  1076.     /*
  1077.      * To do a full status check, both the URL and the cert name
  1078.      * of the responder must be specified if either one is.
  1079.      */
  1080.     if (responder_url == NULL || responder_name == NULL) {
  1081. if (responder_url == NULL)
  1082.     PR_fprintf (PR_STDERR,
  1083. "%s: must also specify responder locationnn",
  1084. program_name);
  1085. else
  1086.     PR_fprintf (PR_STDERR,
  1087. "%s: must also specify responder namenn",
  1088. program_name);
  1089. short_usage (program_name);
  1090. return retval;
  1091.     }
  1092. }
  1094. if (date_str != NULL) {
  1095.     rv = DER_AsciiToTime (&verify_time, (char *) date_str);
  1096.     if (rv != SECSuccess) {
  1097. SECU_PrintError (program_name, "error converting time string");
  1098. PR_fprintf (PR_STDERR, "n");
  1099. long_usage (program_name);
  1100. return retval;
  1101.     }
  1102. } else {
  1103.     verify_time = PR_Now();
  1104. }
  1105.     }
  1107.     retval = -2; /* errors change from usage to runtime */
  1109.     /*
  1110.      * Initialize the NSPR and Security libraries.
  1111.      */
  1112.     PR_Init (PR_SYSTEM_THREAD, PR_PRIORITY_NORMAL, 1);
  1113.     db_dir = SECU_ConfigDirectory (db_dir);
  1114.     rv = NSS_Init (db_dir);
  1115.     if (rv != SECSuccess) {
  1116. SECU_PrintError (program_name, "NSS_Init failed");
  1117. goto prdone;
  1118.     }
  1120.     if (prequest + presponse) {
  1121. data = read_file_into_item (in_file, siBuffer);
  1122. if (data == NULL) {
  1123.     SECU_PrintError (program_name, "problem reading input");
  1124.     goto nssdone;
  1125. }
  1126.     }
  1128.     if (crequest + dresponse + presponse + ccert + vcert) {
  1129. handle = CERT_GetDefaultCertDB();
  1130. if (handle == NULL) {
  1131.     SECU_PrintError (program_name, "problem getting certdb handle");
  1132.     goto nssdone;
  1133. }
  1135. /*
  1136.  * It would be fine to do the enable for all of these commands,
  1137.  * but this way we check that everything but an overall verify
  1138.  * can be done without it.  That is, that the individual pieces
  1139.  * work on their own.
  1140.  */
  1141. if (vcert) {
  1142.     rv = CERT_EnableOCSPChecking (handle);
  1143.     if (rv != SECSuccess) {
  1144. SECU_PrintError (program_name, "error enabling OCSP checking");
  1145. goto nssdone;
  1146.     }
  1147. }
  1149. if ((ccert + vcert) && (responder_name != NULL)) {
  1150.     rv = CERT_SetOCSPDefaultResponder (handle, responder_url,
  1151.        responder_name);
  1152.     if (rv != SECSuccess) {
  1153. SECU_PrintError (program_name,
  1154.  "error setting default responder");
  1155. goto nssdone;
  1156.     }
  1158.     rv = CERT_EnableOCSPDefaultResponder (handle);
  1159.     if (rv != SECSuccess) {
  1160. SECU_PrintError (program_name,
  1161.  "error enabling default responder");
  1162. goto nssdone;
  1163.     }
  1164. }
  1165.     }
  1167. #define NOTYET(opt)
  1168. {
  1169.     PR_fprintf (PR_STDERR, "%s not yet workingn", opt);
  1170.     exit (-1);
  1171. }
  1173.     if (crequest) {
  1174. if (signer_name != NULL) {
  1175.     NOTYET("-s");
  1176. }
  1177. rv = create_request (out_file, handle, name, add_service_locator,
  1178.      add_acceptable_responses);
  1179.     } else if (dresponse) {
  1180. if (signer_name != NULL) {
  1181.     NOTYET("-s");
  1182. }
  1183. rv = dump_response (out_file, handle, name, responder_url);
  1184.     } else if (prequest) {
  1185. rv = print_request (out_file, data);
  1186.     } else if (presponse) {
  1187. rv = print_response (out_file, data, handle);
  1188.     } else if (ccert) {
  1189. if (signer_name != NULL) {
  1190.     NOTYET("-s");
  1191. }
  1192. rv = get_cert_status (out_file, handle, name, verify_time);
  1193.     } else if (vcert) {
  1194. if (signer_name != NULL) {
  1195.     NOTYET("-s");
  1196. }
  1197. rv = verify_cert (out_file, handle, name, cert_usage, verify_time);
  1198.     }
  1200.     if (rv != SECSuccess)
  1201. SECU_PrintError (program_name, "error performing requested operation");
  1202.     else
  1203. retval = 0;
  1205. nssdone:
  1206.     if (data != NULL) {
  1207. SECITEM_FreeItem (data, PR_TRUE);
  1208.     }
  1210.     if (handle != NULL) {
  1211. (void) CERT_DisableOCSPChecking (handle);
  1212. CERT_ClosePermCertDB (handle);
  1213.     }
  1215.     NSS_Shutdown ();
  1217. prdone:
  1218.     PR_Cleanup ();
  1219.     return retval;
  1220. }