Fabric-CA生产环境部署

深入理解CA颁发证书过程

小韦云科技-区块链+小程序+公众号+商城+分销+直播+企业官网+外贸电商-为您提供优质的开发服务-电话/微信联系:18123611282

在学习fabric-ca过程容易被其复杂的配置过程搞蒙,为了更好理解其为什么要这么配置,需要先深入理解CA颁发证书过程

无论是TLS还是身份证书中使用的客户端,都需要设置两个非常关键的环境变量

  • FABRIC_CA_CLIENT_TLS_CERTFILES 客户端连接服务端要使用的TLS证书
  • FABRIC_CA_CLIENT_HOME 客户端主目录,生成的证书都会在这个目录下

例如

export FABRIC_CA_CLIENT_TLS_CERTFILES=/opt/hyperledger/tls-ca/crypto/tls-ca-cert.pem
export FABRIC_CA_CLIENT_HOME=/opt/hyperledger/tls-ca/admin

TLS证书的颁发过程

要操作CA,首先需要让客户端连接到服务端,在服务端启动后,会生成一个ca-cert.pem证书。由于客户端与服务端之间也是使用HTTPS(即TLS)连接的,因此客户端就需要先下载ca-cert.pem证书,然后再使用这个证书与服务端通信

身份证书的颁发过程

身份证书的颁发过程包括TLS证书的颁发,需要先把admin的MSP身份信息获取(enroll)到客户端中,然后这个客户端才能权限给另的用户注册账号,注册用户(身份证书的颁发)过程如下

很多刚入门的同学可能觉得不解,为什么管理员可以直接enroll就能获取到身份信息,而用户还需要register这一步,这不是多余吗?

其中不然,我们知道CA的密钥是非常非常重要的,一旦泄漏后果很严重,因此用户的密钥只能由用户自己获取,即使管理员admin也不能让他知道,这样才能安全,所以上面的客户端的操作流程实际是管理员和用户合并在一起的总的操作流程,实际的操作流程如下

管理员先获取自己的身份信息,然后就有权限注册一个用户账号,得到一个注册密码。
用户获得管理员给他的注册密码后,就可以使用它和用户名获取到自己密钥和相关的证书。
这个过程管理员只知道一个注册密码,是无法知道用户的密钥的,所以保存了密钥的安全。

本文由小韦云原创,转载请注明出处:https://www.bctos.cn/doc/14/1909,否则追究其法律责任

关键词:CA fabric-ca 证书

广告位招商