FISCO BCOS上使用第三方CA证书底层节点部署实操

已于 2022-03-14 16:28:45 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: 用户供稿 开发教程 区块链专题 文章标签: 区块链
于 2021-03-09 18:04:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FISCO_BCOS/article/details/114586036
版权

CA证书怎么生成?节点相互验证证书时会交叉验证吗?对于社区常遇到的此类问题,分享一些个人使用第三方CA证书部署底层节点的经验,希望可以给大家一些借鉴与参考。

为什么要对第三方CA证书进行改造?

首先,说明一下我进行第三方CA证书改造的背景和原因:

  • 社区内经常有人会问到第三方CA证书的改造问题,个人感觉这是大家都关注的要点。

  • 在我们的一些项目中,业务方指定要使用第三方CA证书,实际的生产需求也要求我们进行CA改造。

  • 在司法领域区块链存证场景中,需要由具有电子认证许可证书机构出具的认证证书才能作为电子认证。

鉴于以上三点,我觉得大家对如何进行第三方CA证书改造都很关注。

FISCO BCOS技术文档中提供了CFCA证书改造的案例,但在一些细节上还待完善,因此我想写一篇教程,结合生产环境改造、第三方CA配合、合规性、技术实现等内容具体说明,看看能否对其他社区用户有所帮助。

除了司法领域存证,还有哪些场景需要由第三方CA机构参与?

基本上用到CA证书的区块链场景都有可能用到第三方CA证书,是否采用第三方CA证书主要考虑:

  • 联盟链是否需要第三方CA机构背后的相关资质。

  • 联盟链中,参与方对节点准入管理、以及后续控管是否需要第三方CA机构作为公正机构来签发证书,防止自建CA体系中存在任意签发证书导致节点作恶等问题。

两级证书模式下,为什么需要配置白名单列表?如果不配置会有什么问题?

两级证书模式下使用第三方提供CA证书作为链证书,如果不配置白名单,只要是CA证书签发节点证书都可以连接到这条链上,配置白名单可以实现准入拦截。

实操步骤教学

接下来,我们来看看使用第三方CA证书部署底层节点的具体实操步骤。

此次改造要点为:

  • FISCO BCOS的底层CA缺省提供的是三级模式,链证书-->机构证书-->节点证书;

  • 现实环境中CA方虽然可以提供三级签发的证书,但在一些场景下有合规风险;

  • 目前我们采用的做法是剔除机构证书,从链证书-->节点证书的签发,其中链证书由CA方提供的CA.crt,配合白名单机制使用完成基础底层节点部署。

环境准备

  1. 两台测试服务器:118.25.208.8、132.232.115.126

  2. 操作系统为ubuntu:18.04

  3. openssl 工具使用ubuntu 18.04自带 openssl 1.1.1

  4. 选用普通版FISCO BCOS 2.5.0 版本,节点使用的节点证书算法为EC secp256k1曲线

  5. 结合【白名单机制】一起使用

    https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/docs/manual/certificate_list.html#id2

备注:测试过程中节点私钥和请求证书文件统一管理,但在生产环境中节点私钥应由各机构管理员进行生成,提交给CA方,私钥各自留存。

基础证书准备

生成基础节点私钥和节点证书请求文件。

采用openssl 工具,要求1.0.2版本以上,生成对应的节点私钥和节点证书请求文件、以及对应的node.nodeid(nodeid 是公钥的十六进制表示)。

说明:以下每个节点第四步生成node.nodeid 中的node.key ,都是对应节点的cert_IP_port.key 修改的,该操作是底层要求的。

  • 生产节点1 node_118.25.208.8_30300 相关文件

  • 生产节点2 node_118.25.208.8_30301 相关文件

  •  生产节点3 node_132.232.115.126_30300 相关文件 

  • 生产节点4 node_132.232.115.126_30301 相关文件

    说明:FISCO BCOS V2.5版本中,采用了私钥及EC secp 256k1曲线算法。

CA方进行节点证书签发

提交各个节点的node.csr 文件给CA方,CA方返回一张CA.crt 证书作为链证书,返回四张pem格式的节点证书。

说明:FISCO BCOS中,CA方返回证书的模式为:root -> node -issuer,节点证书中糅合issuer证书内容。

建链

  • step 1 :下载国内镜像,cd ~/ && git clone https://gitee.com/FISCO-BCOS/generator.git

  • step 2 :完成安装,cd ~/generator && bash ./scripts/install.sh完成安装,如果输出 usage: generator xxx,则表示安装成功

  • step 3 :获取节点二进制,拉取最新fisco-bcos二进制文件到meta中(国内cdn),如果输出 FISCO-BCOS Version : x.x.x-x,则表示成功

  • step 4 :机构分配

    选用 118.25.208.8 所属机构作为机构A,并由机构A负责创世区块生成

    选用 132.232.115.126 所属机构作为机构B

  • step 5 :将CA方提供CA.crt 证书作为链证书

    在机构A所属目录手动创建dir_chain_ca目录,并将CA.crt 放到dir_chain_ca目录中

  • step 6 :在机构A和机构B的meta目录下进行节点证书迁移

在meta目录中,手动创建对应的节点目录,其中机构A为:node_118.25.208.8_30300、node_118.25.208.8_30301,机构B为:node_132.232.115.126_30300、node_132.232.115.126_30301

每个目录需要存放对应的节点证书和节点私钥、节点Id,将CA方生成的节点证书、以及最初准备的节点id、节点私钥等文件统一分发至对应的节点目录,详细如图:

  • step 7:机构A收集所有节点证书

在机构A的meta目录下,收集对应的节点证书,用于后续生成创世区块。如图所示:

  • step 8:手动配置机构A修改conf文件夹下的group_genesis.ini,生成创世区块

  • step 9:修改机构A、机构B的conf目录下的node_deployment.ini;其中p2p 地址为外网地址、rpc、channel 地址为内网地址

  • step 10:在机构meta目录下手动创建peers.txt 文件

    机构A中创建 peers.txt、peersB.txt,机构B 创建 peers.txt、peersA.txt

    其中以机构A为例,peers.txt 内容如下:

  • step 11:机构A和机构B中生成节点,在机构A的generator中执行命令./generator --build_install_package ./meta/peersB.txt ./nodeA生成机构A的对应节点;在机构B的generator中执行命令./generator --build_install_package ./meta/peersA.txt ./nodeB生成机构B的对应节点

  • step 12:运行两个机构的节点:bash ./nodeA/start_all.sh和bash ./nodeB/start_all.sh;共识状态正常则如图所示:

  • step 13:控制台部署并进行合约部署测试

    针对机构A和机构B对应的控制台操作结果进行比对,两者数据一致,确保共识正常

  • step 14:在对应节点的config.ini 配置白名单

至此,我们就完成了第三方CA证书结合底层节点部署的改造。

从流程上看,主要是在链证书-->机构证书-->节点证书的生成流程改变了,以及需要在meta目录下进行手动创建peers.txt文件和节点目录等。

结缘FISCO BCOS开源社区

说起我与FISCO BCOS开源社区的结缘也源于CA证书,在一次政企项目对接中,业主方要求区块链底层需适配国密,并使用业主方指定的CA证书。

早期我们团队使用的是其他区块链底层,无法直接适配国密,且改造难度大、周期长、成本高;考虑到后续国内不少项目会涉及到适配国密和CA改造等,我们迫切需要一套完备的区块链底层支持上述需求。通过圈内朋友介绍,了解到FISCO BCOS,在进行深入技术调研、可行性分析后最终选择了FISCO BCOS。

FISCO BCOS开源社区中创设了开放交流的氛围,欢迎大家在社区中与我交流讨论。

1、FISCO BCOS的代码完全开源且免费下载地址:GitHub - FISCO-BCOS/FISCO-BCOS: FISCO BCOS是由微众牵头的金链盟主导研发、对外开源、安全可控的企业级金融区块链底层技术平台。 单链配置下,性能TPS可达万级。提供群组架构、并行计算、分布式存储、可插拔的共识机制、隐私保护算法、支持全链路国密算法等诸多特性。 经过多个机构、多个应用,长时间在生产环境中的实践检验,具备金融级的高性能、高可用性及高安全性。FISCO BCOS is a secure and reliable financial-grade open-source blockchain platform. The platform provides rich features including group architecture, cross-chain communication protocols, pluggable consensus mechanisms, privacy protection algorithms, OSCCA-approved (Office of State Commercial Cryptography Administration) cryptography algorithms, and distributed storage. Its performance, usability, and security have been testified by many institutional users and successful business applications in a live production environment.

2、如果你想随时随地与圈内最活跃、最顶尖的团队畅聊技术话题、参与丰富的社区活动,请添加小助手微信(FISCOBCOS010进入FISCO BCOS技术交流群

了解更多干货内容,请关注FISCO BCOS开源社区公众号,访问FISCO BCOS代码仓库可下载项目所有源代码:https://github.com/FISCO-BCOS/FISCO-BCOS,欢迎点击页面右上角star收藏,获取最新版本。

FISCO BCOS 三、多群组部署以及新节点加入群组
qq_63235624的博客
07-15 2463
本章主要以星形组网和并行多组组网拓扑为例,指导您了解如下内容:了解如何使用创建多群组区块链安装包;了解创建的多群组区块链安装包目录组织形式;学习如何启动该区块链节点,并通过日志查看各群组共识状态;学习如何向各群组发送交易,并通过日志查看群组出块状态;了解群组内节点管理,包括节点入网、退网等;了解如何新建群组。
FISCO BCOS(二十二)——— 游离节点、观察者节点和共识节点
林中有神君
11-03 2067
getSealerList、getObserverList和 getNodeIDList 查看当前组的共识节点列表、观察者节点列表和组内所有节点列表。addSealer 、addObserver 和 removeNode 三类命令将指定节点转换为共识节点、观察者节点和游离节点。addObserver:根据节点NodeID设置对应节点为观察节点;addSealer:根据节点NodeID设置对应节点为共识节点;3、查看节点已连接的所有其他节点的NodeID。12、再次查看共识节点列表。10、查看共识节点节点
配置 Lotus Domino 使用第三方 CA - Microsoft Windows CA
ama7449的博客
05-08 241
简介:本文描述了如何在 Lotus Domino 中配置使用第三方 CA 提供的数字证书以进行 Domino Web 页面的 SSL 登录,以及在收发 Internet 邮件时如何使用第三方 CA 数字证书进行签名和加密,并以 Windows CA 为例,全程描述了证书申请、注册、使用的过程。 本文的标签: 安全, 配置 标记本文! 发布日期:20...
【信息保护论】Ch10. 可信赖的第三方机构: CA认证
Chahot的博客
09-08 1261
证书与认证机关PKI(public-key infrastructure)认证书面临的攻击认证书的必要性 认证书与认证机关 公钥认证书(public-key certificate; PKC):有认证机关(简称CA)发布的具有信赖意义的公钥,有这个可以被信任的第三者——认证机关数字签名公钥后,可以确认收信来源的唯一真实性。 我们来看一下认证书发布过程: Bob生成了一对密钥。公钥和私钥。 Bob向CA登录自身的公钥。 认证机关用自己的私钥进行数字签名并将签名与Bob的公钥组合,然后发给Alice。 .
bjca这种第三方CA中心势必会被区块链替代
pixiedepihai的博客
12-02 479
第三方CA中心作为一个传统,低效率,高成本的,中介认证机构(在政府和自然人、企业之间的),势必会被区块链替代。 bjca服务极差。产品经常出错。 ...
Fisco bcos 在多机器上搭建多个节点区块链网络 教程
软件工程小施同学 的专栏
04-19 1947
一、机器配置 配置 最低配置 推荐配置 CPU 1.5GHz 2.4GHz 内存 1GB 8GB 核心 1核 8核 带宽 1Mb 10Mb 操作系统 Ubuntu 16.04+ https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/docs/manual/hardware_requirements.htmlhttps://fisco-bcos-documen
FISCO BCOS ——节点配置
Sgb13993810983的博客
01-12 1351
FISCO BCOS支持多账本,每条链包括多个独立账本,账本间数据相互隔离,群组间交易处理相互隔离,每个节点包括一个主配置config.ini和多个账本配置group.group_id.genesis、group.group_id.ini。
FISCO BCOS(三十六)———Python Sdk window环境部署及应用开发
林中有神君
05-12 1193
【代码】FISCO BCOS(三十六)———Python Sdk window环境部署及应用开发。
FISCO BCOS 3.0】一、新版本搭链介绍
naihe_fish的博客
05-29 1519
FISCO BCOS的发展速度如日中天,对于稳定的2.0版本而言,偶尔尝试一下3.0的搭链也是一件很有乐趣的事,本期就讲解一下关于FISCO BCOS 3.0版本搭链的那些事。
第三方对接-CA对接
小布のJava世界
01-05 1507
package cc.ewell.mem.prescription.api.ca; import cc.ewell.mem.prescription.comm.ApolloGener; import cc.ewell.mem.prescription.jdbc.sign.CaSignYw; import cn.hutool.core.util.StrUtil; import cn.hutool.json.JSONUtil; import co.faao.plugin.esb.GogApi; import
部署多机多群FISCO BCOS链 | FISCO BCOS开发系列(一)
Huifeng Tang 的博客
01-05 2632
FISCO BCOS多机多群部署 (一):搭建多机多群链搭建多机多群FISCO BCOS链总结参考链接关于作者我们的公众号平台 — (湖师区块人) 实验环境 两台centos7机器(虚拟机和远程服务器都可以) 192.168.80.144 192.168.80.145 java1.8 搭建多机多群FISCO BCOS链 为了检测实验,我们计划搭建两个机构A和B,一个机构4节点一个机构5节点,一共两个群组,A和B均在这两个群组里,呈现一种嵌套的结构。 我将192.168.80.144 作为机构A,
fisco bcos国密版部署
qq_26597911的博客
08-06 3494
fisco bcos部署总体思路: ca节点初始化链证书和链私钥 ca节点生成各机构证书 (推荐机构自行创建私钥并向ca节点申请机构证书:机构向ca节点申请证书方式在文末) 将链证书、机构证书发送给对应机构 机构修改节点配置文件 生成节点信息(证书,连接信息) 机构间互换节点连接信息 选出一个机构,将所有的节点证书发送给该机构,让其创建群组的创世区块,并分发给其他组员 生成节点(已拿到链证书、机构证书节点证书、,其他组员的连接信息、创世区块) 启动节点 准备工作: 下载: cd ~/ &&a
【概念】FISCO-BCOS证书进行Dapp开发需要注意什么?讲解config.ini,group.id.genesis,group.id.ini
这里面的代码全是错的
08-14 886
FISCO-BCOS是联盟链,一说到联盟链就少不了证书的存在,无论是节点证书还是加密证书都有着重要的作用,目前证书配置最多的是hyperledger fabric,这一节我们就简单的讲一下爱FISCO-BCOS中的证书config.ini:主配置文件,主要配置RPC、P2P、SSL证书、账本配置文件路径、兼容性等信息。start.sh\stop.sh:单节点启动\单节点关闭group.X.gensis:群组配置文件,群组内所有节点一致,节点启动后,不可手动更改该配置。...............
区块链底层平台FISCO BCOS证书机制
chengjiequ6517的博客
06-13 1294
FISCO BCOS是完全开源的联盟区块链底层技术平台,由金融区块链合作联盟(深圳)(简称金链盟)成立开源工作组通力打造。开源工作组成员包括博彦科技、华为、深证通、神州数码、四方精创、腾讯、微众银行、亦笔科技和越秀金科等金链盟成员机构。 代码仓库:https://github.com...
FISCO-BCOS环境搭建(五)机构证书准入
h363659487的博客
04-03 3858
FISCO BCOS提供了证书准入的功能。在节点加入网络后,节点间是否能够通信,还可通过证书进行控制。在FISCO BCOS中,节点证书代表了此节点属于某个机构。FISCO BCOS区块链中的管理者,可以通过配置机构的证书,控制相应证书节点是否能够与其它节点通信。机构证书的准入依赖系统合约,在进行机构证书准入操作前,再次请确认:(1)系统合约已经被正确的部署。(2)所有节点的config.js...
FISCO BCOS 联盟链Max搭建
weixin_46532941的博客
03-31 1345
Max版本FISCO BCOS旨在提供海量存储服务、高性能可扩展的执行模块、高可用的故障恢复机制。 Max版FISCO BCOS节点采用分布式存储TiKV,执行模块独立成服务,存储和执行均可横向扩展,且支持自动化主备恢复。
fisco-bcos 部署企业级国密区块链
公子小杰的博客
11-09 9914
首先说明,我目前所用的fisco-bcos generator企业部署版本尚不支持docker部署,只能在主机上直接部署。 下面进入正题 我们本次搭建的是三机构A、B、C组成的联盟链,AB首先组成群组Group1,C后期加入Group1。 一、环境 本文所有的操作目录都是基于generator文件夹 在A、B、C三台机器上下载并安装generator工具 也可以在一台机器上完成这些操作后,把generator文件夹复制给其它两台机器。 git clone https://gitee.com/FISCO-
详细介绍fisco bcos WeBASE一键docker部署
zhuangliren的博客
10-27 2457
​ 之前用了很久的hyperledger fabric,感觉太难用了,很多配置不符合国人思维,无意间发现fisco bcos,写了段一键docker部署过程,供新手多多学习,提高区块链能力,仅供参考。 ​ 一键部署(Docker模式)可以在 同机 快速搭建WeBASE管理台环境,方便用户快速体验WeBASE管理平台。 ​ 一键部署(Docker模式)会搭建:节点FISCO-BCOS)、管理平台(WeBASE-Web)、节点管理子系统(WeBASE-Node-Manager)、节点前置子系统(WeBASE
FISCO BCOS区块链 密码学
最新发布
02-25
### FISCO BCOS 区块链中的密码学实现与应用 #### 密码学基础组件 FISCO BCOS采用了一系列先进的密码学算法和技术来保障系统的安全性。其中包括但不限于椭圆曲线加密(ECC)[^1]、哈希函数(SHA256, SM3)以及数字签名机制(ECDSA)[^2]。 #### 加密通信协议 为了确保节点间通讯的安全性和私密性,FISCO BCOS实现了基于TLS(Transport Layer Security)的传输层安全协议[TLS][^3],这不仅能够防止数据在网络上传输过程中被窃听或篡改,同时也支持客户端和服务端的身份验证过程。 #### 数字证书管理 在身份认证方面,FISCO BCOS引入了PKI(Public Key Infrastructure)公钥基础设施框架下的X.509标准格式数字证书来进行用户及节点的身份确认工作[X.509].每个参与方都需要持有由CA(Certificate Authority)签发的有效期内的合法凭证才能加入网络并发起交易请求. #### 合约层面的安全措施 对于智能合约而言,FISCO BCOS提供了一套完整的权限控制系统,允许开发者定义谁可以调用特定方法;此外还集成了形式化验证工具帮助检测潜在漏洞[Formal Verification Tools]. ```solidity // Solidity code example demonstrating access control within smart contracts on FISCO BCOS. pragma solidity ^0.4.2; contract AccessControl { address public owner; modifier onlyOwner() { require(msg.sender == owner); _; } } ``` #### 隐私保护特性 考虑到实际应用场景中可能存在的敏感信息处理需求,FISCO BCOS也加入了零知识证明(ZKP),同态加密(Homomorphic Encryption)等前沿技术手段[ZKP & HE],从而让用户能够在不暴露原始数据的前提下完成某些类型的计算操作.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值