公钥基础结构(PKI):由证书颁发机构(Certificate Authority)组成,CA颁发数字证书并提供证书吊销列表(CRL),用于验证用户的合法性。当证书关联的加密材料暴露时,此证书会被加入到CRL中。
PKI的四个关键要素:数字证书,公钥和私钥,证书颁发机构(CA),证书吊销列表(CRL)
数字证书:数字证书是一种文档,其中包含于证书持有者相关的一组属性。最常见的整数类型是X.509标准证书,该证书允许在其结构中对证书持有者的详细信息标识进行编码。数字证书相当于用户的身份证,它能提供持有者的信息,用来证明与持有者有关的关键事实。通过密码学记录证书的属性,可以避免证书被篡改。
数字身份是由CA颁发的经过密码验证的符合X.509标准的数字证书。
CA将角色和角色的公钥绑定在一起,并进行数字签名,然后颁发给参与者。
CA也有一个证书,用于证明CA在当前系统中的合法性。
CA具有两种形式:根CA(RCA)和中间CA(ICA)
ICA是具有RCA签名证书的CA节点,用于分散证书颁发的过程,为RCA减轻压力,减少RCA暴露的机会,保证安全性,并且可以扩展CA的功能。当ICA暴露或被攻击时,能最大限度的减小影响范围。
Fabric提供了内置的CA组件,该组件是私有的RCA提供者,能够管理具有X.509证书形式的Fabric参与者数字身份。
由于Fabric CA是根据Fabric需求自定义的CA,因此无法提供SSL证书供浏览器中常规/自动使用。Fabric CA只能用于提供、管理证书,和对RCA或ICA进行标识。