Differences

This shows you the differences between two versions of the page.

--- vyuka:cviceni:x36los:mu2_pki [2010/03/10 08:31] – ihi
+++ vyuka:cviceni:x36los:mu2_pki [2011/11/27 23:14] – [Mini úloha 2 - PKI] ihi
@@ Line 5: / Line 5: @@
   - Vygenerujte si Váš pár klíčů a následně žádost.
     * jako //commonName// použijte Vaše reálné jméno (např. //Peter Macejko//)
+      * pro kódování použijte UTF-8 (utf8string)
     * přidejte informaci o Vašem emailu
+      * v rámci RFC bude tato adresa v atributu //id-ce-subjectAltName// (v ''openssl.conf'' //subjectAltName//) a **NEBUDE** přítomen atribut //emailAddres// (resp. přidání //emailAddres// do //CN//)
     * dále je **nutné** dodržet hodnoty následujících atributů \\ <code>
 countryName = CZ
@@ Line 14: / Line 16: @@
 </code>
     * délka klíče bude 4096b
+    * nepoužívejte hashovací funkci MD5
   - Pošlete žádost na email cvičícího.
     * předmět **musí** být ve tvaru '//[X36LOS] MU2-PKI <Vase_username>//' (např. '//[X36LOS] MU2-PKI macejp1//').
   - Prokažte Vaši totožnost cvičícímu.
-    * Musíte být schopni prokázat, že daný  //X509v3 Subject Key Identifier// (např: //C9:40:56:60:4B:7F:8A:AA:9C:A3:52:C0:40:3A:42:ED:2B:DC:B3:B9//) žádosti patří k Vašemu jménu a že jméno náleží Vám.
+    * Musíte být schopni prokázat, že daná žádost je Vaše (req) a že jméno na ní uvedené náleží Vám (ident).
-      * prokázat se nějakým průkazem, kde bude Vaše jméno a rozpoznatelná fotografie (index, ISIC, občanka, ...) a potvrdit, že daný 'fingerprint' náleží Vaší žádosti
+      * zaslat žádost podepsanou pomocí PGP klíče z minulé úlohy (req)
-      * poslat na email cvičícího email podepsaný buď kvalifikovaným certifikátem nebo certifikátem vydaným některou z důvěryhodných kořenových CA
+      * osobně se prokázat nějakým průkazem, kde bude Vaše jméno a rozpoznatelná fotografie (index, ISIC, občanka, ...) (ident)
-  - [[vyuka/cviceni/x36los/mu2_pki:ls2009-10_certs|Stáhněte]] si certifikát.
+      * při prokazování identity dokázat, že daná žádost je doopravdy ta Vaše - hash, ... (req)
+      * poslat na email cvičícího email se žádostí podepsaný buď kvalifikovaným certifikátem nebo certifikátem vydaným některou z důvěryhodných kořenových CA (req + ident)
+  - [[vyuka/cviceni/x36los/mu2_pki:ls2011-12a_certs|Stáhněte]] si certifikát.
+===== Poznámky =====
+  * Na této úloze budou závislé další miniúlohy (je tedy výhodné ji udělat včas s bodovým ziskem).
+  * Máte 2 pokusy na zaslání správné žádosti - poté to už je bez bodů.
+  * Za poslání cizího soukromého klíče na email cvičícího získáváte bod a majitel klíče jej ztrácí (platí pouze jednou u každého klíče).
+  * Vaše žádost by tedy měla vypadat nějak takto: <code>
+# openssl req -in macejp1.req -noout -text
+Certificate Request:
+    Data:
+        Version: 0 (0x0)
+        Subject: C=CZ, ST=Czechia, L=Prague, O=CVUT FEL, OU=DSN, CN=Peter Macejko
+        Subject Public Key Info:
+            Public Key Algorithm: rsaEncryption
+            RSA Public Key: (4096 bit)
+                Modulus (4096 bit):
+:b2:a9:0b:8b:8e:de:d5:ea:dd:9c:b4:65:bc:30:
+                    ... (veřejný klíč, který chcete certifikovat) ...
+                    c2:a1:89:f4:bb:45:90:ee:d4:b5:79:43:8a:8e:b2:
+:16:f1
+                Exponent: 65537 (0x10001)
+        Attributes:
+        Requested Extensions:
+            X509v3 Basic Constraints: critical
+                CA:FALSE
+            X509v3 Key Usage: critical
+                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
+            X509v3 Subject Alternative Name:
+                email:macejp1@fel.cvut.cz
+    Signature Algorithm: sha1WithRSAEncryption
+:9f:89:64:4b:d2:24:68:6b:06:5e:8b:61:b1:d2:30:2a:6d:
+        ... (toto je podpis žádosti privátním klíčem příslušným
+        k veřejnému, který chcete certifikovat) ...
+:e1:1b:05:af:14:2a:2d
+# _
+</code>
+    * důležitý je hlavně atribut ''Subject'' a ''X509v3 Subject Alternative Name''