FISCOBCOS开源社区中创设了开放交换的气氛，接待各人在社区与我交换接头。

实操步调解说

同盟链是否需要第三方CA机构背后的相关资质。

下载地点↓↓↓

出产节点4node_132.232.115.126_30301相关文件

结缘FISCOBCOS开源社区

https://github.com/FISCO-BCOS/FISCO-BCOS

接下来，我们来看看两台测试处事器：118.25.208.8、132.232.115.126 操纵系统为ubuntu:18.04 openssl东西利用ubuntu18.04自带openssl1.1.1 选用普通版FISCOBCOS2.5.0版本，节点利用的节点证书算法为ECsecp256k1曲线

团结【白名单机制】一起利用

机构A中建设peers.txt、peersB.txt,机构B建设peers.txt、peersA.txt

在司律例模区块链存证场景中，需要由具有电子认证许可证书机构出具的认证证书才气作为电子认证。

回收openssl东西，要求1.0.2版本以上，生成对应的节点私钥和节点证书请求文件、以及对应的node.nodeid（nodeid是公钥的十六进制暗示）。

在我们的一些项目中，业务方指定要利用第三方CA证书，实际的出产需求也要求我们举办CA改革。

社区内常常有人会问到第三方CA证书的改革问题，小我私家感受这是各人都存眷的要点。

在机构A的meta目次下，收集对应的节点证书，用于后续生成创世区块。如图所示：

step12：运行两个机构的节点：bash./nodeA/start_all.sh和bash./nodeB/start_all.sh；共鸣状态正常则如图所示：

同盟链中，参加方对节点准入打点、以及后续控管是否需要第三方CA机构作为合理机构来签发证书，防备自建CA体系中存在任意签发证书导致节点作恶等问题。

说明：以下每个节点第四步生成node.nodeid中的node.key，都是对应节点的cert_IP_port.key修改的，该操纵是底层要求的。

FISCOBCOS的代码完全开源且免费

step14：在对应节点的config.ini设置白名单

step1：下载海内镜像，cd~/&&gitclonehttps://gitee.com/FISCO-BCOS/generator.git step2：完成安装，cd~/generator&&bash./scripts/install.sh完成安装，假如输出usage:generatorxxx，则暗示安装乐成 step3：获取节点二进制，拉取最新fisco-bcos二进制文件到meta中（海内cdn），假如输出FISCO-BCOSVersion:x.x.x-x，则暗示乐成 step4：机构分派 选用118.25.208.8所属机构作为机构A，并由机构A认真创世区块生成 选用132.232.115.126所属机构作为机构B step5：将CA方提供CA.crt证书作为链证书 在机构A所属目次手动建设dir_chain_ca目次，并将CA.crt放到dir_chain_ca目次中 step6：在机构A和机构B的meta目次下举办节点证书迁移 在meta目次中，手动建设对应的节点目次，个中机构A为：node_118.25.208.8_30300、node_118.25.208.8_30301，机构B为：node_132.232.115.126_30300、node_132.232.115.126_30301

每个目次需要存放对应的节点证书和节点私钥、节点Id，将CA方生成的节点证书、以及最初筹备的节点id、节点私钥等文件统一分发至对应的节点目次，具体如图：

鉴于以上三点，我以为各人对如何举办第三方CA证书改革都很存眷。

两级证书模式下，为什么需要设置白名单列表？假如不设置会有什么问题？

出产节点3node_132.232.115.126_30300相关文件

现实情况中CA方固然可以提供三级签发的证书，但在一些场景下有合规风险；

生成基本节点私钥和节点证书请求文件

提交各个节点的node.csr文件给CA方，CA方返回一张CA.crt证书作为链证书，返回四张pem名目标节点证书。

备注：测试进程中节点私钥和请求证书文件统一打点，但在出产情况中节点私钥应由各机构打点员举办生成，提交给CA方，私钥各自留存。