This is an old revision of the document!
Mini úloha 2 - PKI
Zadání: Zašlete žádost o certifikát a následně jej získejte.
Postup:
- Vygenerujte si Váš pár klíčů a následně žádost.
- jako commonName použijte Vaše reálné jméno (např. Peter Macejko)
- přidejte informaci o Vašem emailu
- v rámci RFC bude tato adresa v atributu id-ce-subjectAltName (v
openssl.conf
subjectAltName) a NEBUDE přítomen atribut emailAddres (resp. přidání emailAddres do CN)
- dále je nutné dodržet hodnoty následujících atributů
countryName = CZ stateOrProvinceName = Czechia localityName = Prague organizationName = CVUT FEL organizationalUnitName = DSN
- délka klíče bude 4096b
- Pošlete žádost na email cvičícího.
- předmět musí být ve tvaru '[X36LOS] MU2-PKI <Vase_username>' (např. '[X36LOS] MU2-PKI macejp1').
- Prokažte Vaši totožnost cvičícímu.
- Musíte být schopni prokázat, že daný X509v3 Subject Key Identifier (např: C9:40:56:60:4B:7F:8A:AA:9C:A3:52:C0:40:3A:42:ED:2B:DC:B3:B9) žádosti patří k Vašemu jménu a že jméno náleží Vám.
- osobně se prokázat nějakým průkazem, kde bude Vaše jméno a rozpoznatelná fotografie (index, ISIC, občanka, …) a potvrdit, že daný 'fingerprint' náleží Vaší žádosti
- poslat na email cvičícího email podepsaný buď kvalifikovaným certifikátem nebo certifikátem vydaným některou z důvěryhodných kořenových CA
- Stáhněte si certifikát.
Poznámky
- Na této úloze budou závislé další miniúlohy (je tedy výhodné ji udělat včas s bodovým ziskem).
- Máte 2 pokusy na zaslání správné žádosti - poté to už je bez bodů.
- Za poslání cizího soukromého klíče na email cvičícího získáváte bod a majitel klíče jej ztrácí (platí pouze jednou u každého klíče).
- Vaše žádost by tedy měla vypadat nějak takto:
# openssl req -in macejp1.req -noout -text Certificate Request: Data: Version: 0 (0x0) Subject: C=CZ, ST=Czechia, L=Prague, O=CVUT FEL, OU=DSN, CN=Peter Macejko Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (4096 bit) Modulus (4096 bit): 00:b2:a9:0b:8b:8e:de:d5:ea:dd:9c:b4:65:bc:30: ... (veřejný klíč, který chcete certifikovat) ... c2:a1:89:f4:bb:45:90:ee:d4:b5:79:43:8a:8e:b2: 36:16:f1 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: critical CA:FALSE X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment X509v3 Subject Alternative Name: email:macejp1@fel.cvut.cz Signature Algorithm: sha1WithRSAEncryption 52:9f:89:64:4b:d2:24:68:6b:06:5e:8b:61:b1:d2:30:2a:6d: ... (toto je podpis žádosti privátním klíčem příslušným k veřejnému, který chcete certifikovat) ... 52:e1:1b:05:af:14:2a:2d # _
- důležitý je hlavně atribut
Subject
aX509v3 Subject Alternative Name