CACreateCert: support --request and --utf8

With --request output a Certificate Signing Request instead of an
X.509 certificate.

With --utf8 always use UTF8String to encode strings that would
otherwise be encoded as PrintableString and are allowed to alternatively
be encoded as UTF8String.

Note that it may be necessary to use both the --no-extensions and
--utf8 options to generate a byte-exact match for `openssl req -new`
output.

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: allow use of --randome with non-root certs

There's no reason to disallow use of --random with non-root
certificates.  By combining --random with an explicit --dni
"serialNumber=#" any number of unique certificates can readily be
generated of any type from a template that will  all end up having
unique subject distinguised names.

It would, of course, also be possible to do this by simply incrementing
a counter and embedding that.  But, by using the --random plus --dni
"serialNumber=#" system, multiple discreet systems can be reasonably
assured of generating unique certificate subject distinguished names
from the same template with no mutual coordination required between
them to avoid subject distinguished name collisions.

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: update, clarify and enhance text

Elaborate on value assigned to the notAfter field, mention
the "req -pubkey" command and provide tips on dealing with CSRs.

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: calm the whirlpool a bit

A message on the OpenSSL mailing list had suggested using an
unofficial OID as a "whirlpoolWithRSAEncryption" OID.

  http://openssl.6102.n7.nabble.com/Creating-a-x509-request-with-Whirlpool-td27209.html#message27213o

That unofficial OID has since been officially assigned by
RFC 8017 to something else.

The whirlpool hash algorithm identifier is officially declared
as 1.0.10118.3.0.55 in RFC 6931 section 2.3.8.  However that
section is actually titled "RSA-Whirlpool" and the section is
fairly clear that the only valid encryption method to be used
with whirlpool is RSA.  Therefore using the same OID for both the
hash algorithm and signature algorithm OIDs should be clear and
unambiguous.  Like mud.

Update the signature algorithm OID used for RSA-Whirlpool to be
the same as the OID used for the whirlpool hash algorithm (the
officially assigned 1.0.10118.3.0.55 "whirlpool" value) and change
the warning text and bug text appropriately in order to stop using
or referencing the unofficial OID that is now officially something
else.  Also add constants for two new RSA hash+encryption OIDs
(from RFC 8017), but do not include an implementation as there
doesn't yet seem to be any "openssl" option to generate them.

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: correct wording about self-signed combo certs

It's still mumbo jumbo, but at least it's not a sentence
fragment anymore.

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: remove "OfIncorporation" from EV subject OIDs

The EV certificate guidelines version 1.4.6 adopted and effective
2014-03-24 removed the "OfIncorporation" part from the OID
name.

Include the new shorter names while keeping the old ones as
aliases.

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: mention openssl -x509toreq in TIPS

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: improve features for use with --email

Mention in the README that CACreateCert can create perfectly usable
S/MIME email signing/encryption certificates.  Also mention that an
example of how to do so is now part of the `CACreateCert --help`
output.

Also make it possible to move the location of the emailAddress
component of the subject distinguished name to anywhere in the
subject distinguished name if desired.

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

ConvertPubKey: tolerate any $PATH location for perl

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

CACreateCert: support LibreSSL's openssl command

Signed-off-by: Kyle J. McKay <mackyle@gmail.com>

README: add some headings and .md alias

CACreateCert: let --dni serial=# relocate the random serial number

CACreateCert: Acme Certificate Co.

See --acme option.

CACreateCert: add support for including arbitrary distinguished name information

New --dni option that can read data from a file if desired.

CACreateCert: various minor cleanups and elucidations

CACreateCert: add some additional explanatory comments

CACreateCert: add some warning text about --dns usage

CACreateCert: never default to less than sha-256 if SHA-2 available

CACreateCert: tweak the documentation a bit

CACreateCert: make --root + --other-type do the right thing

When combining --root with one other type, make sure the correct
name type is chosen and the correct key usage bits are set.

CACreateCert: add support for --dns option

Using the --dns option altarnative names for --server
certificates can be added.

CACreateCert: choose a stronger default hash for longer keys

If the public key or signing key has a security strength of more
than 128 bits then sha-256 is not appropriate as a default hash
as it has only 128 bits of security strength.  Choose a stronger
hash as the default hash in this case and warn if it's not
available.

ConvertPubKey: fine tune compute_rsadsa_strength

ConvertPubKey: include secstrength in verbose output

Include the estimated security bit strength of the key
in the output.  These are taken from part 1 of NIST
special publication 800-57.  Where an exact match is
not available, an approximation is shown.

CACreateCert: fix typo in help

Examples.html: correct some wording

ConvertPubKey: show DSA prime divisor bit size

When in verbose mode (e.g. --verbose and/or --check), show the size of
the DSA prime divisor (q) in bits.  Additionally emit warnings about this
size consistent with NIST 800-57 recommendations if it's too small.

Remove incorrect option aliases

CACreateCert: -c is not an alias for --in, --out or --suffix so remove it
ConvertPubKey: -c is not an alias for --in or --out so remove it
ConvertPubKey: --infile and --outfile should not be recognized options,
               change them to the correct --in and --out which were
               already working properly as unambiguous abbreviations

CACreateCert: add support for --dnq to add a dnQualifier

CACreateCert: allow multiple --suffix options

ConvertPubKey: Add hint comment to locate help

Remove some ConvertPubKey debugging code

New ConvertPubKey utility

CACreateCert: Fix undefined infilename variable when showing errors

Switch from UTF-8 to ISO-8859-1 so it works with dumb servers

Add support for --suffix option

Add support for --in and --out options

Add a README.txt file

Add an Examples.html page

Prefer /dev/urandom over /dev/random if it exists

Add some license text to version output

Make --random the default for --root and support --no-random

Add a license

Make CACreateCertClient the only tool since it does it all

Extensive --help updates

Make --applecodesign use CN instead of userId

Auto detect when --pubx509 option needed

Fix incorrect unpack calls in GetCertInfo

CACreateCertClient: fix description grammo

Add --rootauth and --authext to optionally restore authority key id for root and serial number/directory name for non-root authority key id

Support new --applecodesign, --client and --pathlen= options.  Always allow zero or more extended key usage.  Omit authority key id for root.  Always omit authority key dirname and serial number.

Make Xcode Perl parser behave

More extensions fiddling

Yet even more capabilities added

Correct value encoded for authorityCertIssuer

More capabilities

Utility to create a client certificate from only an OpenSSH public key given a CA certificate and its private key

Use everything except the serial number in the hash to create the serial number

Minor comment cleanup

Make generated certificates be repeatable by default.  Improve help output

Display OpenSSH md5 and sha1 fingerprints in verbose mode

Tool that creates a root certificate from an RSA private key and a common name