Fabric证书过期问题

已于 2023-05-25 10:49:49 修改
阅读量1.5k 收藏 2
点赞数 1
分类专栏: Hyperledger fabric 文章标签: fabric 服务器 运维
于 2022-11-18 09:57:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baijiafan/article/details/127915943
版权

相信很多人和我们一样,开始使用Hyperledger Fabric进行项目是从他的Test-network开始的吧,从最开始的单节点配置到后来扩展到多节点配置。但是基础还是从test-network来的。

进来,一些一年前的项目陆续出现一些问题,让我们发现了fabric里面这个大坑。

那就是TLS证书过期错误。

默认启动Fabric-ca的时候,还挺简单对吧,启动docker之后,程序会自动生成root证书,并根据root证书生成后续需要的tls证书和节点证书。

但是最近出问题之后,我们深入研究了fabric-ca的默认配置文件,发现其中

 tls证书有效期默认为1年

enroll证书(各类角色,包括peer,orderer等)的证书有效期是5年。

root ca证书有效期默认是15年。

那经常会遇到问题的就是tls证书过期的问题了。也就是说,项目好端端跑了一年,就会突然遇到证书失效的问题……也是醉了。

解决方案1:重新生成tls证书

(请注意,这个方法成功完成了节点证书重新生成,但是因为提到的这个channel错误并没有最后成功)

删除fabric-ca生成的tls-cert.pem,重新启动ca,就可以重新生成tls证书,但是因为tls证书在各个节点的链接过程中,凡是涉及和ca进行认证交互的部分都需要,这个证书是拷贝到每个结构对应的所有节点了的,所以要逐个节点进行替换。

这样,5年内应该是没有问题了,5年之后,要重新执行enroll指令,为各个节点重新申请enroll证书,就可以完成续命。

经测试,在删除节点配置文件的tls文件夹之后,遇到了"channel xxx is not serviced by me"问题,经查,似乎和2.3以前版本需要创建consortium有关,这有个类似的问题

Re: identity and tls certs expired in Hyperledger fabrichttps://lists.hyperledger.org/g/fabric/message/10265但是也有可能是因为我删除的tls中有其他文件导致,fabric的安全体系太复杂,建议搜到这篇文章的小伙伴,一定要采用2.3版本以上的无consortium配置。

解决方案2:重新部署

如果你的项目数据没有需要保存的,可以采取重新部署的方式(我们试验过,只要root ca变化过,保留数据和system-genesis-block下的创世块是行不通的,所有数据的验证都依赖于root ca)。

重新部署的时候,可以手工生成一份fabric-ca-server-config.yaml(各机构一份),各机构配置中不同的部分包括name和host等。可以拷贝默认生成的yaml文件,进行二次手工编辑。

但是经研究,系统生成的fabric-ca-server-config.yaml中,csr的hosts部分包含了docker机器的hostname,用于后续在docker环境中的互联互通。

csr:
   hosts:
     - 3a913f6002ef
     - localhost

如果要自己手工编写的话,获得这个hosts有两个办法:

1)确认docker的container's ID,通常docker的hostname就是container id

2)在docker-compose.yaml中配置每个节点的hostname

推荐采用第二种方式,这样,我们可以把hostname设置为更有意义的域名,例如peer1,org1.example.com等

----------------------------------------------------------

今天又有一个小伙伴遇到这个问题,特别提醒任何修复操作注意备份原证书

百家饭OpenAPI
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
1.Fabric-CA简介
boss2967的博客
10-12 1916
1.Fabric-CA简介 Fabric 设计中考虑了三种类型的证书:登记证书(Enrollment Certificate)、交易证书(Transaction Certificate),以及保障通信链路安全的 TLS 证书证书的默认签名算法为 ECDSA,Hash 算法为 SHA-256。 登记证书(ECert):颁发给提供了注册凭证的用户或节点等实体,代表网络中身份。一般长期有效。 交易证书(TCert):颁发给用户,控制每个交易的权限,不同交易可以不同,实现匿名性。短期有效。 通信证书(TLS..
利用fabric-ca生成区块链证书
10-25
Hyperledger Fabric,作为一款企业级的开源区块链框架,采用了一种名为“Fabric CA”的组件来管理网络中的身份和证书。本教程将详细介绍如何利用Fabric CA服务生成区块链证书,涵盖纯命令行操作以及编写脚本的方式。...
Hyperledger Fabric CA中文文档
ling的专栏
06-09 2322
Fabric CA
fabric2.2 tls和签名认证证书过期解决方案
心若留念的博客
02-21 1746
1. fabric证书过期替换 1.1 记录需要修改目录 ## 记录需要修改目录 fabric-ca/ordererOrg/tls-cert.pem fabric-ca/org1/tls-cert.pem fabric-ca/org1/tls-cert.pem organizations/ordererOrganizations/example.com/msp/signcerts/cert.pem organizations/ordererOrganizations/example.com/msp/k
Fabric证书相关处理流程
baijiafan的博客
12-23 1380
fabic test-network启动顺序介绍
实战:fabric 用户证书吊销操作流程
BSN_yanxishe的博客
07-04 1439
背景:在fabric框架中,Orderer、Peer、客户端SDK、CLI接口等操作都需要用到证书,用户在非授权的情况下不得接入区块链。但是由于现实多种原因(证书泄露、员工离职等)需要撤销用户证书。 请注意,被撤销的证书证书过期完全不同。撤销的证书尚未过期,按其他方式来说,它们是完全有效的证书。......
Fabric ca 1.4国密单机部署并测试
qq_44926783的博客
04-10 201
这样一个新用户就注册成功了,获取了属于自己的证书和私钥。目录,包含管理员的证书和私钥。客户端可以接收到一个密码。在bin文件夹中有了。
Fabric错误集锦及解决办法
zhan7023的博客
03-17 1万+
[DiscoveryService]: send[xxxchannel] - Channel:xxxchannel received discovery error:access denied 状态:之前启动成功过区块链浏览器容器,后来容器总是莫名其妙的挂掉 原因:第一次通过docker-compose.yaml启动区块链浏览器时候,会为持久化数据(Postgres数据和用户钱包)分配了两个命名卷block-explorer_pgdata和block-explorer_walletstore;关闭容器的时候
如何设置安全Service Fabric集群的证书信息1
08-08
在创建 Service Fabric 集群时,为了确保集群的安全性,通常需要配置安全性措施,包括使用证书进行身份验证和加密通信。本文将详细讲解如何设置安全 Service Fabric 集群的证书信息,特别是如何在 PowerShell 中进行...
搭建hyperledger fabric各种疑难问题解答
01-16
该文档是从超级账本1.0版本开始到1.4,在环境搭建和配置当中,所遇到的各种大坑,做了一下汇总
Hyperledger Fabric手动生成CA证书搭建Fabric网络-Raft.pdf
07-29
Hyperledger Fabric 手动生成 CA 证书搭建 Fabric 网络 - Raft 共识协议 本文档总体架构采用多机部署环境,但为了简化操作,所有操作都在一台机器上进行。多机环境将在后续验证中进行介绍。 Fabric 网络的总体...
区块链Hyperleger Fabric2.0 总结分享
01-20
总的来说,Hyperledger Fabric2.0在保持其企业级区块链平台优势的同时,通过引入新的特性和改进,提高了性能和易用性,为开发者和企业提供了更强大的工具来构建分布式应用程序和解决实际业务问题
fabric-ca 问题集(一)
it_zhouzhenfeng的专栏
01-08 1105
在做fabric-ca 权限管理过程中遇到 /api/v1/register 401 25 "Invalid token in authorization header: Token signature validation failed" 检查证书等一系列都没有问题, 最后发现是由于中文问题导致post请求中乱码导致解析错误。  解决方法:对中文进行url encode 附上fabr...
Hyperledger Fabric 国密改造 & 兼容多证书 & 兼容证书升级
Coder_Joker的博客 joke a joker
11-15 1005
fabric-sdk-java 兼容多证书 允许同个channel中的所有节点(peer/orderer)共用同一套算法体系 允许同个channel中的节点使用不同的算法(peer0.org1.com 使用ecdsa而peer0.org2.com使用SM2) 节点配置错误时,内存增长控制范围内 fabric-ca 国密支持 权威机构颁发的证书国密支持 ...
Fabric CA/数字证书管理
weixin_33892359的博客
10-17 1220
MSP(Membership Service Provider)成员管理服务提供商 名词: 1。CSR(Cerificate Signing Request):证书签署请求文件 CSR里包含申请者的 DN(Distinguished Name,标识名)和公钥信息(在第三方机构签署证书时要提供)。 证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT...
Fabric CA 官方用户指南(中文版)
热门推荐
一颗贪婪的星
05-20 2万+
目录 一、Fabric CA概述 ​二、开始使用 (一)先决条件 (二)安装Fabric-ca (三)启动服务方式 三、Fabric CA Server (一)初始化Server (二)启动Server (三)配置数据库 1. PostgreSQL 2. MySQL (四)配置LDAP (五)配置多个CAs 四、Fabric CA Client (一)登记引导身份 ...
hyperledger fabric配置文件详细分析
草根工厂——技术虐我千百遍,我依然待你如初恋
07-04 4415
导言: 旨在记录fabric环境搭建时使用的配置文件对应的功能和字节介绍。 目标: 了解节点证书和创世块生成的配置文件的配置信息; 了解各类节点的配置文件的配置信息; 了解系统core.yaml文件的配置信息; 了解fabric节点证书包括哪些内容; 配置文件: 文章中1-6对应的配置文件是本人在实际搭建fabric环境《深入理解hyperledger f...
【Linux】进程间通信(IPC)——匿名管道
最新发布
2201_76024104的博客
07-08 1158
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
fabric java sdk 获得证书文件
05-25
要使用 Fabric Java SDK,您需要获得以下两个证书文件: 1. TLS 证书:用于安全通信。它是一个 X.509 证书,以 PEM 格式存储,并使用 .pem 扩展名。 2. 签名证书和私钥:用于对交易进行数字签名。它们也是 X.509 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

百家饭OpenAPI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值