http://www.7klian.com

FISCO BCOS上利用第三方CA证书底层节点陈设实操

FISCOBCOS开源社区中创设了开放交换的气氛,接待各人在社区与我交换接头。

实操步调解说

根基上用到CA证书的区块链场景都有大概用到第三方CA证书,是否回收第三方CA证书主要思量:

同盟链是否需要第三方CA机构背后的相关资质。

下载地点↓↓↓

出产节点4node_132.232.115.126_30301相关文件

https://www.yc-l.com/article/49.html

结缘FISCOBCOS开源社区

https://github.com/FISCO-BCOS/FISCO-BCOS

接下来,我们来看看两台测试处事器:118.25.208.8、132.232.115.126 操纵系统为ubuntu:18.04 openssl东西利用ubuntu18.04自带openssl1.1.1 选用普通版FISCOBCOS2.5.0版本,节点利用的节点证书算法为ECsecp256k1曲线

团结【白名单机制】一起利用

step8:手动设置机构A修改conf文件夹下的group_genesis.ini,生成创世区块 step9:修改机构A、机构B的conf目次下的node_deployment.ini;个中p2p地点为外网地点、rpc、channel地点为内网地点 step10:在机构meta目次下手动建设peers.txt文件

机构A中建设peers.txt、peersB.txt,机构B建设peers.txt、peersA.txt

在司律例模区块链存证场景中,需要由具有电子认证许可证书机构出具的认证证书才气作为电子认证。

回收openssl东西,要求1.0.2版本以上,生成对应的节点私钥和节点证书请求文件、以及对应的node.nodeid(nodeid是公钥的十六进制暗示)。

在我们的一些项目中,业务方指定要利用第三方CA证书,实际的出产需求也要求我们举办CA改革。

CA证书怎么生成?节点彼此验证证书时会交错验证吗?

首先,说明一下我举办第三方CA证书改革的配景和原因:

社区内常常有人会问到第三方CA证书的改革问题,小我私家感受这是各人都存眷的要点。

step7:机构A收集所有节点证书

在机构A的meta目次下,收集对应的节点证书,用于后续生成创世区块。如图所示:

step11:机构A和机构B中生成节点,在机构A的generator中执行呼吁./generator--build_install_package./meta/peersB.txt./nodeA生成机构A的对应节点;在机构B的generator中执行呼吁./generator--build_install_package./meta/peersA.txt./nodeB生成机构B的对应节点

step12:运行两个机构的节点:bash./nodeA/start_all.sh和bash./nodeB/start_all.sh;共鸣状态正常则如图所示:

同盟链中,参加方对节点准入打点、以及后续控管是否需要第三方CA机构作为合理机构来签发证书,防备自建CA体系中存在任意签发证书导致节点作恶等问题。

说明:以下每个节点第四步生成node.nodeid中的node.key,都是对应节点的cert_IP_port.key修改的,该操纵是底层要求的。

FISCOBCOS的代码完全开源且免费

step13:节制台陈设并举办合约陈设测试 针对机构A和机构B对应的节制台操纵功效举办比对,两者数据一致,确保共鸣正常

step14:在对应节点的config.ini设置白名单


step1:下载海内镜像,cd~/&&gitclonehttps://gitee.com/FISCO-BCOS/generator.git step2:完成安装,cd~/generator&&bash./scripts/install.sh完成安装,假如输出usage:generatorxxx,则暗示安装乐成 step3:获取节点二进制,拉取最新fisco-bcos二进制文件到meta中(海内cdn),假如输出FISCO-BCOSVersion:x.x.x-x,则暗示乐成 step4:机构分派 选用118.25.208.8所属机构作为机构A,并由机构A认真创世区块生成 选用132.232.115.126所属机构作为机构B step5:将CA方提供CA.crt证书作为链证书 在机构A所属目次手动建设dir_chain_ca目次,并将CA.crt放到dir_chain_ca目次中 step6:在机构A和机构B的meta目次下举办节点证书迁移 在meta目次中,手动建设对应的节点目次,个中机构A为:node_118.25.208.8_30300、node_118.25.208.8_30301,机构B为:node_132.232.115.126_30300、node_132.232.115.126_30301

每个目次需要存放对应的节点证书和节点私钥、节点Id,将CA方生成的节点证书、以及最初筹备的节点id、节点私钥等文件统一分发至对应的节点目次,具体如图:

鉴于以上三点,我以为各人对如何举办第三方CA证书改革都很存眷。



两级证书模式下,为什么需要设置白名单列表?假如不设置会有什么问题?

出产节点3node_132.232.115.126_30300相关文件

现实情况中CA方固然可以提供三级签发的证书,但在一些场景下有合规风险;

生成基本节点私钥和节点证书请求文件

提交各个节点的node.csr文件给CA方,CA方返回一张CA.crt证书作为链证书,返回四张pem名目标节点证书。

备注:测试进程中节点私钥和请求证书文件统一打点,但在出产情况中节点私钥应由各机构打点员举办生成,提交给CA方,私钥各自留存。

此次改革要点为:

FISCOBCOS的底层CA缺省提供的是三级模式,链证书-->机构证书-->节点证书;

元磁之力论坛是由林宣名和他的团队为FISCOBCOS开源社区孝敬的用户交换平台,主要用于分享和进修FISCOBCOS及相关的技能常识。感激各工钱社区做出的种种孝敬,您的每一次参加都将成为社区生长的动力!


FISCOBCOS技能文档中提供了CFCA证书改革的案例,但在一些细节上还待完善,因此我想写一篇教程,团结出产情况改革、第三方CA共同、合规性、技能实现等内容详细说明,看看可否对其他社区用户有所辅佐。

CA方举办节点证书签发

为什么要对第三方CA证书举办改革?

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读