启动包含TLS的CA服务

最新推荐文章于 2023-07-05 13:38:31 发布
最新推荐文章于 2023-07-05 13:38:31 发布
阅读量320 收藏
点赞数
分类专栏: 超级账本官方流程学习记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fei77606365/article/details/103034051
版权

启动包含TLS的CA服务

可以直接使用docker-compose -f ca.yaml up -d启动

version: '2'
networks:
  byfn:
services:
  ca-tls:
    container_name: ca-tls
    image: hyperledger/fabric-ca:1.4.3
    command: sh -c 'fabric-ca-server start -d -b tls-ca-admin:tls-ca-adminpw --port 7052'
    environment:
      - FABRIC_CA_SERVER_HOME=/tmp/hyperledger/fabric-ca/crypto
      - FABRIC_CA_SERVER_TLS_ENABLED=true
      - FABRIC_CA_SERVER_CSR_CN=ca-tls
      - FABRIC_CA_SERVER_CSR_HOSTS=0.0.0.0
      - FABRIC_CA_SERVER_DEBUG=true
    volumes:
      - ./tls/ca:/tmp/hyperledger/fabric-ca
    ports:
      - 7052:7052

注册TLS CA管理员

使用TLS需要使用上一步生成的证书./fabric-ca-server/crypto/ca-cert.pem。所有的TLS认证都会用到这个文件。

export FABRIC_HOME=$PWD
export FABRIC_CA_CLIENT_HOME=$FABRIC_HOME

mkdir -p $FABRIC_HOME/tls-ca/crypto/
mkdir -p $FABRIC_HOME/tls-ca/admin/
cp $FABRIC_HOME/tls/ca/crypto/tls-cert.pem $FABRIC_HOME/tls-ca/crypto/

export FABRIC_CA_CLIENT_TLS_CERTFILES=$FABRIC_HOME/tls-ca/crypto/tls-cert.pem
export FABRIC_CA_CLIENT_HOME=$FABRIC_HOME/tls-ca/admin
fabric-ca-client enroll -d -u https://tls-ca-admin:tls-ca-adminpw@0.0.0.0:7052 -H $FABRIC_HOME/tls-ca/admin

fabric-ca-client register -d --id.name peer1-org1 --id.secret peer1PW --id.type peer -u https://0.0.0.0:7052
fabric-ca-client register -d --id.name peer2-org1 --id.secret peer2PW --id.type peer -u https://0.0.0.0:7052
fabric-ca-client register -d --id.name peer1-org2 --id.secret peer1PW --id.type peer -u https://0.0.0.0:7052
fabric-ca-client register -d --id.name peer2-org2 --id.secret peer2PW --id.type peer -u https://0.0.0.0:7052
fabric-ca-client register -d --id.name orderer1-org0 --id.secret ordererPW --id.type orderer -u https://0.0.0.0:7052

Setup Orderer Org CA

每个组织都必须拥有自己的证书颁发机构(CA)来颁发注册证书。CA将为组织中的每个对等方和客户端颁发证书。

您的CA将创建属于您的组织的身份,并为每个身份颁发一个公共和私有密钥。这些密钥使您所有的节点和应用程序都能签名并验证其操作。网络的其他成员将理解您的CA签名的任何身份,以识别属于您的组织的组件。

Org0的管理员将启动Fabric CA docker容器,Org0将使用该容器来发布Org0中的身份的加密材料。

可以使用以下服务之类的docker服务来启动Fabric CA容器。

docker-compose -f org0.yaml up -d

version: '2'
networks:
  byfn:
services:
    rca-org0:
       container_name: rca-org0
       image: hyperledger/fabric-ca
       command: /bin/bash -c 'fabric-ca-server start -d -b rca-org0-admin:rca-org0-adminpw --port 7053'
       environment:
          - FABRIC_CA_SERVER_HOME=/tmp/hyperledger/fabric-ca/crypto
          - FABRIC_CA_SERVER_TLS_ENABLED=true
          - FABRIC_CA_SERVER_CSR_CN=rca-org0
          - FABRIC_CA_SERVER_CSR_HOSTS=0.0.0.0
          - FABRIC_CA_SERVER_DEBUG=true
       volumes:
          - ./org0/ca:/tmp/hyperledger/fabric-ca
       ports:
          - 7053:7053

注册Orderer组织的CA管理员

您将发出以下命令来注册CA管理员,然后注册两个Org0的身份。

在下面的命令中,我们将假定CA的TLS证书的受信任根证书已复制到 /tmp/hyperledger/org0/ca/crypto/ca-cert.pem 存在fabric-ca-client二进制文件的主机上。如果客户端二进制文件位于其他主机上,则需要通过带外过程获取签名证书。

将注册以下身份:
  • Orderer (orderer1-org0)
  • Orderer admin (admin-org0)
export FABRIC_CA_CLIENT_TLS_CERTFILES=$FABRIC_HOME/org0/ca/crypto/ca-cert.pem
export FABRIC_CA_CLIENT_HOME=$FABRIC_HOME/org0/ca/admin
fabric-ca-client enroll -d -u https://rca-org0-admin:rca-org0-adminpw@0.0.0.0:7053
fabric-ca-client register -d --id.name orderer1-org0 --id.secret ordererpw --id.type orderer -u https://0.0.0.0:7053
fabric-ca-client register -d --id.name admin-org0 --id.secret org0adminpw --id.type admin --id.attrs "hf.Registrar.Roles=client,hf.Registrar.Attributes=*,hf.Revoker=true,hf.GenCRL=true,admin=true:ecert,abac.init=true:ecert" -u https://0.0.0.0:7053

$ tree org0/ca/admin 
fabric-ca-server/org0/ca/admin
├── fabric-ca-client-config.yaml
└── msp
    ├── IssuerPublicKey
    ├── IssuerRevocationPublicKey
    ├── cacerts
    │   └── 0-0-0-0-7053.pem
    ├── keystore
    │   └── e39c647145225d618a7454083079a69b8771dd35b7c2046cc9fa7a1fa6a6dba6_sk
    ├── signcerts
    │   └── cert.pem
    └── user

fabric-ca-client-config.yaml:CA客户端的配置
0-0-0-0-7053.pem:公共证书
e39c647145225d618a7454083079a69b8771dd35b7c2046cc9fa7a1fa6a6dba6_sk:私钥
cert.pem:CA签发的管理员证书

设置Org1的CA

docker-compose -f org1.yaml up -d

version: '2'
networks:
  byfn:
services:
    rca-org1:
       container_name: rca-org1
       image: hyperledger/fabric-ca
       command: /bin/bash -c 'fabric-ca-server start -d -b rca-org1-admin:rca-org1-adminpw --port 7054'
       environment:
          - FABRIC_CA_SERVER_HOME=/tmp/hyperledger/fabric-ca/crypto
          - FABRIC_CA_SERVER_TLS_ENABLED=true
          - FABRIC_CA_SERVER_CSR_CN=rca-org1
          - FABRIC_CA_SERVER_CSR_HOSTS=0.0.0.0
          - FABRIC_CA_SERVER_DEBUG=true
       volumes:
          - ./org1/ca:/tmp/hyperledger/fabric-ca
       ports:
          - 7054:7054

注册Org1的CA管理员

注册以下身份
  • Peer 1 (peer1-org1)
  • Peer 2 (peer2-org1)
  • Admin (admin1-org1)
  • End user (user-org1)
export FABRIC_CA_CLIENT_TLS_CERTFILES=$FABRIC_HOME/org1/ca/crypto/ca-cert.pem
export FABRIC_CA_CLIENT_HOME=$FABRIC_HOME/org1/ca/admin
fabric-ca-client enroll -d -u https://rca-org1-admin:rca-org1-adminpw@0.0.0.0:7054
fabric-ca-client register -d --id.name peer1-org1 --id.secret peer1PW --id.type peer -u https://0.0.0.0:7054
fabric-ca-client register -d --id.name peer2-org1 --id.secret peer2PW --id.type peer -u https://0.0.0.0:7054
fabric-ca-client register -d --id.name admin-org1 --id.secret org1AdminPW --id.type user -u https://0.0.0.0:7054
fabric-ca-client register -d --id.name user-org1 --id.secret org1UserPW --id.type user -u https://0.0.0.0:7054

设置Org2的CA

docker-compose -f org2.yaml up -d

version: '2'
networks:
  byfn:
services:
    rca-org2:
      container_name: rca-org2
      image: hyperledger/fabric-ca
      command: /bin/bash -c 'fabric-ca-server start -d -b rca-org2-admin:rca-org2-adminpw --port 7055'
      environment:
        - FABRIC_CA_SERVER_HOME=/tmp/hyperledger/fabric-ca/crypto
        - FABRIC_CA_SERVER_TLS_ENABLED=true
        - FABRIC_CA_SERVER_CSR_CN=rca-org2
        - FABRIC_CA_SERVER_CSR_HOSTS=0.0.0.0
        - FABRIC_CA_SERVER_DEBUG=true
      volumes:
        - ./org2/ca:/tmp/hyperledger/fabric-ca
      ports:
        - 7055:7055

注册Org2的CA管理员

export FABRIC_CA_CLIENT_TLS_CERTFILES=$FABRIC_HOME/org2/ca/crypto/ca-cert.pem
export FABRIC_CA_CLIENT_HOME=$FABRIC_HOME/org2/ca/admin
fabric-ca-client enroll -d -u https://rca-org2-admin:rca-org2-adminpw@0.0.0.0:7055
fabric-ca-client register -d --id.name peer1-org2 --id.secret peer1PW --id.type peer -u https://0.0.0.0:7055
fabric-ca-client register -d --id.name peer2-org2 --id.secret peer2PW --id.type peer -u https://0.0.0.0:7055
fabric-ca-client register -d --id.name admin-org2 --id.secret org2AdminPW --id.type user -u https://0.0.0.0:7055
fabric-ca-client register -d --id.name user-org2 --id.secret org2UserPW --id.type user -u https://0.0.0.0:7055

设置Peers

一旦CA启动并运行,我们就可以开始注册对等方。

设置Org1的Peers

Org1的管理员将使用其CA注册对等方,然后启动对等Docker容器。在启动对等方之前,您需要使用CA注册对等方身份,以获取对等方将使用的MSP。这称为本地对等MSP。

注册 Peer1
mkdir -p $FABRIC_HOME/org1/peer1/assets/ca
cp $FABRIC_HOME/org1/ca/crypto/ca-cert.pem $FABRIC_HOME/org1/peer1/assets/ca/
mkdir -p $FABRIC_HOME/org1/peer1/assets/tls-ca/
cp $FABRIC_HOME/org1/ca/crypto/tls-cert.pem $FABRIC_HOME/org1/peer1/assets/tls-ca/

export FABRIC_CA_CLIENT_HOME=$FABRIC_HOME/org1/peer1
export FABRIC_CA_CLIENT_TLS_CERTFILES=$FABRIC_HOME/org1/peer1/assets/ca/ca-cert.pem
fabric-ca-client enroll -d -u https://peer1-org1:peer1PW@0.0.0.0:7054

下一步是获取peer的TLS加密材料。这需要再次注册,但是这次您将针对TLS CA上的配置文件进行注册。您还需要在注册请求中提供Peer1主机的地址,作为该csr.hosts标志的输入。在下面的命令中,我们将假定TLS CA的证书已被复制到Peer1的主机上的 $FABRIC_HOME/fabric-ca-server/org1/peer1/assets/tls-ca/tls-ca-cert.pem 。

export FABRIC_CA_CLIENT_MSPDIR=$FABRIC_HOME/org1/peer1/tls-msp
export FABRIC_CA_CLIENT_TLS_CERTFILES=$FABRIC_HOME/org1/peer1/assets/tls-ca/tls-cert.pem
fabric-ca-client enroll -d -u https://peer1-org1:peer1PW@0.0.0.0:7052 --enrollment.profile tls --csr.hosts peer1-org1
注册 Peer2
export FABRIC_CA_CLIENT_HOME=$FABRIC_HOME/fabric-ca-server/org1/peer2
export FABRIC_CA_CLIENT_TLS_CERTFILES=/tmp/hyperledger/org1/peer2/assets/ca/org1-ca-cert.pem
fabric-ca-client enroll -d -u https://peer2-org1:peer2PW@0.0.0.0:7054

未完

参考

https://hyperledger-fabric-ca.readthedocs.io/en/latest/operations_guide.html#setup-cas

飞走了HD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
互联网协议 — TLSCA 认证
烟云的计算
01-05 1737
目录 文章目录目录CA 认证基本概念PKICA 机构X.509 标准数字证书的结构数字证书的类型数字证书的格式CA 证书认证流程浏览器 CA 认证流程 CA 认证 基本概念 PKI PKI(Public Key Infrastructure,公钥基础设施),是一种遵循既定标准的密钥管理平台,通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PIK 保证了通信数据的私密性、完整性、不可否认性和
Gitlab CI permission denied(权限无法访问)
waiwaiLILI的专栏
03-03 4886
【问题描述】 触发gitlab CI, 突然发现不行了,说CI_SERVER_TLS_CA_FILE 没有访问权限,what?前两天还是好的 【解决方案】 通过网上一通搜索,发现可能是gitlab-runner 这个用户需要root权限,所以试一试 $ groups gitlab-runner > gitlab-runner : gitlab-runner $ sudo usermod -a -G root gitlab-runner $ sudo groups gitlab-.
CATLS双向认证
qq_33431394的博客
12-21 1443
1.名词解释 TLS:传输层安全协议 Transport Layer Security的缩写 CA 证书颁发机构(CA, Certificate Authority)即颁发数字证书的机构。 CSR 是Certificate Signing Request的缩写,即证书签名请求,这不是证书,可以简单理解成公钥,生成证书时要把这个提交给权威的证书颁发机构。 CRT 即 certificate的缩写,即证书。 CER 是证书的公钥。 JKS 是JAVA的keytools证书工具支持的证书私钥格式。 PFX 是微
TLSCA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 3044
TLSCA证书申请流程
TLS、SSL、CA 证书、公钥、私钥。。。今天捋一捋!
江南一点雨的专栏
03-23 3354
松哥最近在和小伙伴们连载 gRPC,如何确保 gRPC 通信的安全性?这就涉及到 TSL 了,但是考虑到可能有小伙伴对加密连接这一整套方案比较陌生,因此我们今天先用一篇文章跟大家捋清楚这些概念,概念搞明白了,再来看 TSL+gRPC 就很容易了。
Node启动https服务器的教程
09-30
在Node.js环境中,为了提供安全的HTTP over TLS/SSL(通常称为HTTPS)服务,开发者需要了解如何启动一个HTTPS服务器。本教程将详细讲解如何使用Node原生、Express和Koa框架来实现这一功能。 首先,启动HTTPS服务器...
RobinsCA:基本的证书颁发机构服务器。不兼容ACME,但保持简单
03-21
1. `main.go` - 项目的主入口文件,包含服务器的启动逻辑。 2. `certutil` - 工具包,用于处理证书相关操作,如生成、签发和解析证书。 3. `config` - 配置文件或模块,定义服务器的设置和参数。 4. `server` - CA...
paypal php不支持TLS1.2解决方法
09-28
如果这两个文件较旧,可能不包含TLS 1.2的支持。你可以下载最新版本的OpenSSL库并替换这些文件,确保它们与你的PHP版本兼容。 3. **修改php.ini配置**:在`php.ini`配置文件中,查找`openssl.cafile`和`openssl....
Java实现SSL TLS
11-27
2. **证书**:证书是一种数字文件,包含公钥、颁发者(通常是证书权威机构,CA)、有效期以及拥有者的身份信息。它用作验证网络实体身份的凭据。服务器通常会提供证书给客户端,证明其身份。 **Java 中的 SSL 实现*...
利用fabric-ca生成区块链证书
10-25
本教程将详细介绍如何利用Fabric CA服务生成区块链证书,涵盖纯命令行操作以及编写脚本的方式。 首先,Fabric CA是Hyperledger Fabric的身份管理系统,它负责注册和认证网络中的参与者,如节点、用户和组织。证书是...
TLS、SSL、CA 证书、公钥、私钥
最新发布
nbspzs的专栏
07-05 2326
现在当我们的电脑需要访问该网站的时候,该网站就会给我们发来一个证书 B,由于我们的浏览器并不知道 B 证书是否合法,但是我们的电脑上已经预装了 A 证书,我们可以从 A 证书中提取出 A 的公钥,然后利用 A 的公钥对 B 证书的签名进行验证(因为 B 证书的签名是 A 的私钥签的),如果验证通过了,就说明 B 是合法的。被访问的网站提供了一个证书,这个证书是由一个操作系统所信任的证书颁发机构签发的,操作系统所信任的证书颁发机构一般都预装在操作系统中,通过第一步的方式可以查看。
GitLab CI/CD Variables 中文文档
Allen技术小站
06-27 1万+
官方文档链接(这篇文章也算是翻译自官网文档): GitLab CI/CD environment variables 当GitLab CI 中接受到一个job后,Runner就开始准备构建环境。开始设置预定义的变量(环境变量)和用户自定义的变量。 variables 的执行顺序 变量可以被重写,并且是按照下面的顺序进行执行: Trigger variables(优先级最高) Secre...
GitLab-CI与GitLab Runner
wang11876的博客
06-16 459
因为gitlab-ci-multi-runner register的作用除了把Runner的信息保存到配置文件以外,还有一个很重要的作用,那就是向GitLab-CI发出请求,在GitLab-CI中登记这个Runner的信息并且获取后续通信所需要的token。其次,当gitlab-ci-multi-runner run在后台运行的时候,要查看其运行状态不方便,而且也没有提供停止gitlab-ci-multi-runner run的命令。所以,这个命令应该只是一个能让Runner运行起来的基础命令。
GitLab-CI与GitLab-Runner
weixin_34254823的博客
03-25 157
文/tsyeyuanfeng(简书作者)原文链接:http://www.jianshu.com/p/2b43151fb92e著作权归作者所有,转载请联系作者获得授权,并标注“简书作者”。一、持续集成(Continuous Integration)要了解GitLab-CI与GitLab Runner,我们得先了解持续集成是什么。持续集成是一种软件开发实践,即团队开发成员经常集成...
SSL/TLS(3): CA证书解释
猪哥的专栏
03-28 2155
SSL/TLS(1):基本概念通俗解释 SSL/TLS (2):通俗解释SSL/TLS为什么安全 前言 在前面的文章中,我们分析了SSL/TLS的一些基本概念和为什么他们安全,尤其提到了公钥和私钥的概念,还有一个很重要的文件,就是CA证书,关于CA证书的官方解释,可以参考百科的解释,这里我们可以简单的认为,CA证书是一个网站的 二维码,这个二维码包括了服务器的一些信息,比如服务器所在的组织、支持的加密算法,还有更重要的公钥信息。 X.509 我们在使用mbedtls时,会发现有X.509的名称,在其他地方也
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
热门推荐
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
使用Fabric CA从头创建 Hyperledger Fabric所需的证书
ling的专栏
08-24 1200
注意:以Fabric CA构建证书素材,注意每次enroll,证书都会更换 一、OrdererOrg的证书 1.启动节点和账号的Fabriccaserver 启动caserver,用于构建OrdererOrg的证书及client用户 server目录及启动如下 cd ~/work/example/ca/order/ca fabric-ca-server start -b admin:adminpw --port 7054 2.登陆admin客户端 cd ~/work/example...
k8s,盘他!k8s的安全机制与RBAC使用方法
CN_TangZheng的博客
05-21 1209
文章目录前言一:k8s安全机制1.1:kubernetes安全框架1.2:第一关:Authentication认证1.3:第二关:Authorization授权1.3.1:RBAC使用测试1.4:第三关:准入控制Admission Control如有疑问可评论区交流! 前言 一:k8s安全机制 安全框架、 传输安全、认证,授权,准入控制 使用rbac授权 1.1:kubernetes安全框架 安全框架的流程 流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authenticatio
将此服务器配置成CA证书服务器(CA认证中心),负责Web服务器的证书发放工作; 使用脚本/etc/pki/tls/misc/CA来创建CA认证中心, 要求CA证书路径为/etc/pki/CA/cacert.pem;
05-26
sudo ln -s /etc/pki/CA/cacert.pem /etc/pki/tls/certs/ca-bundle.crt ``` 4. 确认CA证书已经安装成功: ``` openssl x509 -in /etc/pki/CA/cacert.pem -text -noout ``` 如果一切正常,您应该看到证书的详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值