Mini úloha 2 - PKI

Zadání: Zašlete žádost o certifikát a následně jej získejte.

Postup:

1. Vygenerujte si Váš pár klíčů a následně žádost.
   • jako commonName použijte Vaše reálné jméno (např. Peter Macejko)
     • pro kódování použijte UTF-8 (utf8string)
   • přidejte informaci o Vašem emailu
     • v rámci RFC bude tato adresa v atributu id-ce-subjectAltName (v openssl.conf subjectAltName) a NEBUDE přítomen atribut emailAddres (resp. přidání emailAddres do CN)
   • dále je nutné dodržet hodnoty následujících atributů
     

     countryName = CZ
     stateOrProvinceName = Czechia
     localityName = Prague
     organizationName = CVUT FEL
     organizationalUnitName = DSN

   • délka klíče bude 4096b
   • nepoužívejte hashovací funkci MD5
2. Pošlete žádost na email cvičícího.
   • předmět musí být ve tvaru '[X36LOS] MU2-PKI <Vase_username>' (např. '[X36LOS] MU2-PKI macejp1').
3. Prokažte Vaši totožnost cvičícímu.
   • Musíte být schopni prokázat, že daná žádost je Vaše (req) a že jméno na ní uvedené náleží Vám (ident).
     • zaslat žádost podepsanou pomocí PGP klíče z minulé úlohy (req)
     • osobně se prokázat nějakým průkazem, kde bude Vaše jméno a rozpoznatelná fotografie (index, ISIC, občanka, …) (ident)
     • při prokazování identity dokázat, že daná žádost je doopravdy ta Vaše - hash, … (req)
     • poslat na email cvičícího email se žádostí podepsaný buď kvalifikovaným certifikátem nebo certifikátem vydaným některou z důvěryhodných kořenových CA (req + ident)
4. Stáhněte si certifikát.

• Na této úloze budou závislé další miniúlohy (je tedy výhodné ji udělat včas s bodovým ziskem).
• Máte 2 pokusy na zaslání správné žádosti - poté to už je bez bodů.
• Za poslání cizího soukromého klíče na email cvičícího získáváte bod a majitel klíče jej ztrácí (platí pouze jednou u každého klíče).
• Vaše žádost by tedy měla vypadat nějak takto:

  # openssl req -in macejp1.req -noout -text
  Certificate Request:
      Data:
          Version: 0 (0x0)
          Subject: C=CZ, ST=Czechia, L=Prague, O=CVUT FEL, OU=DSN, CN=Peter Macejko
          Subject Public Key Info:
              Public Key Algorithm: rsaEncryption
              RSA Public Key: (4096 bit)
                  Modulus (4096 bit):
                      00:b2:a9:0b:8b:8e:de:d5:ea:dd:9c:b4:65:bc:30:
                      ... (veřejný klíč, který chcete certifikovat) ...
                      c2:a1:89:f4:bb:45:90:ee:d4:b5:79:43:8a:8e:b2:
                      36:16:f1
                  Exponent: 65537 (0x10001)
          Attributes:
          Requested Extensions:
              X509v3 Basic Constraints: critical
                  CA:FALSE
              X509v3 Key Usage: critical
                  Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
              X509v3 Subject Alternative Name:
                  email:macejp1@fel.cvut.cz
      Signature Algorithm: sha1WithRSAEncryption
          52:9f:89:64:4b:d2:24:68:6b:06:5e:8b:61:b1:d2:30:2a:6d:
          ... (toto je podpis žádosti privátním klíčem příslušným
          k veřejnému, který chcete certifikovat) ...
          52:e1:1b:05:af:14:2a:2d
  # _

  • důležitý je hlavně atribut Subject a X509v3 Subject Alternative Name