vyuka:cviceni:x36los:mu2_pki

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
Last revisionBoth sides next revision
vyuka:cviceni:x36los:mu2_pki [2010/03/10 08:31] ihivyuka:cviceni:x36los:mu2_pki [2011/11/27 23:14] – [Mini úloha 2 - PKI] ihi
Line 5: Line 5:
   - Vygenerujte si Váš pár klíčů a následně žádost.   - Vygenerujte si Váš pár klíčů a následně žádost.
     * jako //commonName// použijte Vaše reálné jméno (např. //Peter Macejko//)     * jako //commonName// použijte Vaše reálné jméno (např. //Peter Macejko//)
 +      * pro kódování použijte UTF-8 (utf8string)
     * přidejte informaci o Vašem emailu     * přidejte informaci o Vašem emailu
 +      * v rámci RFC bude tato adresa v atributu //id-ce-subjectAltName// (v ''openssl.conf'' //subjectAltName//) a **NEBUDE** přítomen atribut //emailAddres// (resp. přidání //emailAddres// do //CN//)
     * dále je **nutné** dodržet hodnoty následujících atributů \\ <code>     * dále je **nutné** dodržet hodnoty následujících atributů \\ <code>
 countryName = CZ countryName = CZ
Line 14: Line 16:
 </code> </code>
     * délka klíče bude 4096b     * délka klíče bude 4096b
 +    * nepoužívejte hashovací funkci MD5
   - Pošlete žádost na email cvičícího.   - Pošlete žádost na email cvičícího.
     * předmět **musí** být ve tvaru '//[X36LOS] MU2-PKI <Vase_username>//' (např. '//[X36LOS] MU2-PKI macejp1//').     * předmět **musí** být ve tvaru '//[X36LOS] MU2-PKI <Vase_username>//' (např. '//[X36LOS] MU2-PKI macejp1//').
   - Prokažte Vaši totožnost cvičícímu.   - Prokažte Vaši totožnost cvičícímu.
-    * Musíte být schopni prokázat, že daný  //X509v3 Subject Key Identifier// (např: //C9:40:56:60:4B:7F:8A:AA:9C:A3:52:C0:40:3A:42:ED:2B:DC:B3:B9//žádosti patří k Vašemu jménu a že jméno náleží Vám. +    * Musíte být schopni prokázat, že daná žádost je Vaše (req) a že jméno na ní uvedené náleží Vám (ident)
-      * prokázat se nějakým průkazem, kde bude Vaše jméno a rozpoznatelná fotografie (index, ISIC, občanka, ...) a potvrdit, že daný 'fingerprint' náleží Vaší žádosti +      * zaslat žádost podepsanou pomocí PGP klíče z minulé úlohy (req) 
-      * poslat na email cvičícího email podepsaný buď kvalifikovaným certifikátem nebo certifikátem vydaným některou z důvěryhodných kořenových CA             +      * osobně se prokázat nějakým průkazem, kde bude Vaše jméno a rozpoznatelná fotografie (index, ISIC, občanka, ...) (ident) 
-  - [[vyuka/cviceni/x36los/mu2_pki:ls2009-10_certs|Stáhněte]] si certifikát.+      * při prokazování identity dokázat, že daná žádost je doopravdy ta Vaše - hash, ... (req) 
 +      * poslat na email cvičícího email se žádostí podepsaný buď kvalifikovaným certifikátem nebo certifikátem vydaným některou z důvěryhodných kořenových CA (req + ident) 
 +  - [[vyuka/cviceni/x36los/mu2_pki:ls2011-12a_certs|Stáhněte]] si certifikát. 
 + 
 +===== Poznámky ===== 
 +  * Na této úloze budou závislé další miniúlohy (je tedy výhodné ji udělat včas s bodovým ziskem). 
 +  * Máte 2 pokusy na zaslání správné žádosti - poté to už je bez bodů. 
 +  * Za poslání cizího soukromého klíče na email cvičícího získáváte bod a majitel klíče jej ztrácí (platí pouze jednou u každého klíče). 
 +  * Vaše žádost by tedy měla vypadat nějak takto: <code> 
 +# openssl req -in macejp1.req -noout -text 
 +Certificate Request: 
 +    Data: 
 +        Version: 0 (0x0) 
 +        Subject: C=CZ, ST=Czechia, L=Prague, O=CVUT FEL, OU=DSN, CN=Peter Macejko 
 +        Subject Public Key Info: 
 +            Public Key Algorithm: rsaEncryption 
 +            RSA Public Key: (4096 bit) 
 +                Modulus (4096 bit): 
 +                    00:b2:a9:0b:8b:8e:de:d5:ea:dd:9c:b4:65:bc:30: 
 +                    ... (veřejný klíč, který chcete certifikovat) ... 
 +                    c2:a1:89:f4:bb:45:90:ee:d4:b5:79:43:8a:8e:b2: 
 +                    36:16:f1 
 +                Exponent: 65537 (0x10001) 
 +        Attributes: 
 +        Requested Extensions: 
 +            X509v3 Basic Constraints: critical 
 +                CA:FALSE 
 +            X509v3 Key Usage: critical 
 +                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment 
 +            X509v3 Subject Alternative Name: 
 +                email:macejp1@fel.cvut.cz 
 +    Signature Algorithm: sha1WithRSAEncryption 
 +        52:9f:89:64:4b:d2:24:68:6b:06:5e:8b:61:b1:d2:30:2a:6d: 
 +        ... (toto je podpis žádosti privátním klíčem příslušným 
 +        k veřejnému, který chcete certifikovat) ... 
 +        52:e1:1b:05:af:14:2a:2d 
 +# _ 
 +</code> 
 +    * důležitý je hlavně atribut ''Subject'' a ''X509v3 Subject Alternative Name''
  • vyuka/cviceni/x36los/mu2_pki.txt
  • Last modified: 2012/11/06 22:21
  • by ihi