Hyperledger Fabric 1.0 快速搭建 -------- 多机部署 Fabric CA节点服务

最新推荐文章于 2023-03-01 21:43:53 发布
最新推荐文章于 2023-03-01 21:43:53 发布
阅读量2.7k 收藏 7
点赞数 1
分类专栏: Hyperledger Fabric
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36956154/article/details/82907970
版权

前言

在这里我推荐两位大神的博客,可以参考或者直接跟着这两位大神学习,我是阅读这两位大神的博客和《深度探索区块链Hyperledger技术与应用》一书部署的

《深度探索区块链Hyperledger技术与应用》作者:张增骏、董宁、朱轩彤、陈剑雄  著。

深蓝大大:https://www.cnblogs.com/studyzy/category/1024666.html

Aberic大神:https://www.cnblogs.com/aberic/category/1148898.html

Fabric CA服务是官方提供的数字证书管理的一个默认实现,Fabric CA是超级账本的数字证书认证中心,提供了以下功能:

用户信息的注册;

数字证书的发行;

数字证书的延期与吊销

Fabric CA 服务端提供用户登记和注册数字证书管理功能,数据存储后端可以是Mysql、PostgreSQL、LDAP等,如果配置了LDAP,用户信息存在于LDAP中,而不是存放在Mysql或者PostgreSQL,通过数据存储和业务逻辑的分离,Fabric CA服务能够采用无状态的集群部署。通过HAProxy等软件实现负载均衡功能,实现服务的高可用。

图片来自官网,阐述了Fabric CA在整个超级账本中的作用

有人说CA就是MSP的具体实现,之前用户的MSP证书是通过平台特定二进制文件来生成的,现在我们是通过访问CA服务来实现证书的发行,和用户的注册。CA服务还提供了数字证书的延期和吊销。

而能给别人发放证书的有两种,一种是根证书(root),一种是tls根证书,被这两种根证书发行的证书叫做 ”中间CA证书“ 发行的证书有私钥和公钥(cert证书,我这样写不严谨,只是我自己理解的,希望不要误导)。

所以这次我部署了两个CA服务,一个放的是tlsCA根证书,一个是CA根证书,tlsCA服务可以不用部署,视情况可定,我需要所以部署了。TlsCA和CA的部署顺序与配置是大部分一样的,没有本质上的区别,都是CA服务器,只是证书文件(ca-cert.pem,ca-key.pem)用的不一样,tlsCA服务器用的是tls根证书,CA服务器用的是CA根证书,把这两个分清楚就可以了,这两个CA节点分别在不同的服务器节点上部署即可。

关于CA更详细的可以参考官网文档:https://hyperledger-fabric-ca.readthedocs.io/en/latest/

还有一个博文应该是根据官网写的笔记:https://blog.csdn.net/baidu_39649815/article/details/76259031

开始

1.配置文件与证书文件

CA服务在node6机器上进行操作

1.1因为我们选择使用的是PostgreSQL数据库来存储,所以在启动CA之前一定要先启动数据库容器

[root@node6 ~]# mkdir -p /u01/data/postgresql

[root@node6 ~]# docker run --name mypostgres1 -e POSTGRES_PASSWORD=postgres -e POSTGRES_USER=postgres -p 5432:5432 -v /u01/data/postgresql:/var/lib/postgresql/data -d postgres -c 'shared_buffers=256MB' -c 'max_connections=500'

1.2.配置CA 服务fabric-ca-server-config.yaml文件 这个文件会在启动CA容器的时候默认在你映射的目录下寻找,如果没有这个文件,CA服务会自动生成一个,设置什么的都是默认的,在这里我们手动创建一个fabric-ca-server-config.yaml

[root@node6 ~]# mkdir -p /u01/ca

[root@node6 ~]# cd -p /u01/ca

[root@node6 ~]# vi fabric-ca-server-config.yaml

#
#   COMMAND LINE ARGUMENTS AND ENVIRONMENT VARIABLES
#   ------------------------------------------------
#   Each configuration element can be overridden via command line
#   arguments or environment variables.  The precedence for determining
#   the value of each element is as follows:
#   1) command line argument
#      Examples:
#      a) --port 443
#         To set the listening port
#      b) --ca-keyfile ../mykey.pem
#         To set the "keyfile" element in the "ca" section below;
#         note the '-' separator character.
#   2) environment variable
#      Examples:
#      a) FABRIC_CA_SERVER_PORT=443
#         To set the listening port
#      b) FABRIC_CA_SERVER_CA_KEYFILE="../mykey.pem"
#         To set the "keyfile" element in the "ca" section below;
#         note the '_' separator character.
#   3) configuration file
#   4) default value (if there is one)
#      All default values are shown beside each element below.
#
#   FILE NAME ELEMENTS
#   ------------------
#   The value of all fields whose name ends with "file" or "files" are
#   name or names of other files.
#   For example, see "tls.certfile" and "tls.clientauth.certfiles".
#   The value of each of these fields can be a simple filename, a
#   relative path, or an absolute path.  If the value is not an
#   absolute path, it is interpretted as being relative to the location
#   of this configuration file.
#
#############################################################################

# Server's listening port (default: 7054)  默认的端口
port: 7054

# Enables debug logging (default: false)  
# 日志的级别默认是false不开启 开启后会有更多的信息打印在控制台
debug: true

# Size limit of an acceptable CRL in bytes (default: 512000)
crlsizelimit: 512000

#############################################################################
#  TLS section for the server's listening port
#
#  The following types are supported for client authentication: NoClientCert,
#  RequestClientCert, RequireAnyClientCert, VerifyClientCertIfGiven,
#  and RequireAndVerifyClientCert.
#
#  Certfiles is a list of root certificate authorities that the server uses
#  when verifying client certificates.
#############################################################################
#是否在服务端启用TLS,如果启用TLS后进行身份验证的证书和签名的私钥
tls:
  # Enable TLS (default: false)
  enabled: false
  # TLS for the server's listening port
  certfile: server.crt   #如果开启后tls的证书就要把你用的哪个节点的tls证书和私钥放在 /u01/ca下
  keyfile: server.key
  clientauth:
    type: noclientcert
    certfiles: ca.crt

#############################################################################
#  The CA section contains information related to the Certificate Authority
#  including the name of the CA, which should be unique for all members
#  of a blockchain network.  It also includes the key and certificate files
#  used when issuing enrollment certificates (ECerts) and transaction
#  certificates (TCerts).
#  The chainfile (if it exists) contains the certificate chain which
#  should be trusted for this CA, where the 1st in the chain is always the
#  root CA certificate.
#############################################################################
# 包括实例的名称、签名私钥文件、身份验证证书和证书链文件乖;这些私钥和证书文件会用来作为生成ECert、TCert的根证书
ca:
  # Name of this CA   CA服务名称. 可以支持多个服务
  name: userca
  # Key file (default: ca-key.pem)  密钥文件(默认: ca-key.pem)
  keyfile: ca-key.pem
  # Certificate file (default: ca-cert.pem)   证书文件(默认: ca-cert.pem)
  certfile: ca-cert.pem
  # Chain file (default: chain-cert.pem)   证书链文件(默认: chain-cert.pem)
  chainfile: ca-chain.pem

#其实上面的证书名字写什么都无所谓,这里写什么,在/u01/ca下的ca证书要跟这里写的一样
#############################################################################
#  The registry section controls how the fabric-ca-server does two things:
#  1) authenticates enrollment requests which contain a username and password
#     (also known as an enrollment ID and secret).
#  2) once authenticated, retrieves the identity's attribute names and
#     values which the fabric-ca-server optionally puts into TCerts
#     which it issues for transacting on the Hyperledger Fabric blockchain.
#     These attributes are useful for making access control decisions in
#     chaincode.
#  There are two main configuration options:
#  1) The fabric-ca-server is the registry.
#     This is true if "ldap.enabled" in the ldap section below is false.
#  2) An LDAP server is the registry, in which case the fabric-ca-server
#     calls the LDAP server to perform these tasks.
#     This is true if "ldap.enabled" in the ldap section below is true,
#     which means this "registry" section is ignored.
#############################################################################
#当fabric-ca-server自身提供用户的注册管理时使用, 此情况下需要禁用LDAP功能, 否则fabric-ca-server将会把注册管理数据转发到LDAP进行查询
registry:
  # Maximum number of times a password/secret can be reused for enrollment
  # (default: -1, which means there is no limit)
  # 允许同一个用户名和密码进行enrollment的最大次数, -1为无限制, 0为不支持登记
  maxenrollments: -1

  # Contains identity information which is used when LDAP is disabled
  identities:     # 注册的实体信息, 可以进行enroll. 只有当LDAP未启用时起作用
     - name: ywhtest
       pass: ywh123456
       type: client
       affiliation: ""
       maxenrollments: -1
       attrs:
          hf.Registrar.Roles: "client,user,peer,validator,auditor"
          hf.Registrar.DelegateRoles: "client,user,validator,auditor"
          hf.Revoker: true
          hf.IntermediateCA: true

#############################################################################
#  Database section
#  Supported types are: "sqlite3", "postgres", and "mysql".
#  The datasource value depends on the type.
#  If the type is "sqlite3", the datasource value is a file name to use
#  as the database store.  Since "sqlite3" is an embedded database, it
#  may not be used if you want to run the fabric-ca-server in a cluster.
#  To run the fabric-ca-server in a cluster, you must choose "postgres"
#  or "mysql".
#############################################################################
#数据库支持SQLite3、MySQL、Postgres. 默认为SQLite3类型的本地数据库. 如果要配置集群, 则需要选用MySQL或Postgres后端数据库, 并在前端部署负载均衡器(如Nginx或HAProxy)
db:
  type: postgres
  datasource: host=172.31.145.194 port=5432 user=postgres password=postgres dbname=ca #host一定要写本机的内网地址,不要写127.0.0.1 sslmode=disable
  tls:
      enabled: false  #是否启用TLS来连接到数据库
      certfiles:    #PEM格式的数据库服务器的TLS根证书, 可以指定多个, 用逗号隔开
        - db-server-cert.pem  
      client:
        certfile: db-client-cert.pem    # PEM格式的客户端证书文件
        keyfile: db-client-key.pem      # PEM格式的客户端证书私钥文件

#############################################################################
#  LDAP section
#  If LDAP is enabled, the fabric-ca-server calls LDAP to:
#  1) authenticate enrollment ID and secret (i.e. username and password)
#     for enrollment requests;
#  2) To retrieve identity attributes
#############################################################################
# 配置使用远端的LDAP来进行注册管理, 认证enrollment的用户和密码, 并获取用户属性信息. 此时, 服务端将按照指定的usrfilter从LDAP获取对应的用户, 利用其唯一识别名(distinguidhed name)和给定的密码进行验证. 
# 当LDAP功能启用时, registry中的配置将被忽略
ldap:
   # Enables or disables the LDAP client (default: false)
   # If this is set to true, the "registry" section is ignored.
   enabled: false     # 是否启用LDAP, 默认不启用
   # The URL of the LDAP server
   url: ldap://<adminDN>:<adminPassword>@<host>:<port>/<base>
   tls:
      certfiles:
        - ldap-server-cert.pem
      client:
         certfile: ldap-client-cert.pem
         keyfile: ldap-client-key.pem

#############################################################################
#  Affiliation section
#############################################################################
# 组织结构配置,这个会存到Postgresql数据库中
affiliations:
   org1:
      - department1
   org2:
      - department2

#############################################################################
#  Signing section
#
#  The "default" subsection is used to sign enrollment certificates;
#  the default expiration ("expiry" field) is "8760h", which is 1 year in hours.
#
#  The "ca" profile subsection is used to sign intermediate CA certificates;
#  the default expiration ("expiry" field) is "43800h" which is 5 years in hours.
#  Note that "isca" is true, meaning that it issues a CA certificate.
#  A maxpathlen of 0 means that the intermediate CA cannot issue other
#  intermediate CA certificates, though it can still issue end entity certificates.
#  (See RFC 5280, section 4.2.1.9)
#############################################################################
# 签发证书相关的配置包括签名方法、证书超时时间等. fabric-ca-server可以作为用户证书的签发CA(默认情况下), 也可以作为根CA来进一步支持其它中间CA
signing:
    default:      # 默认情况下,用于签署Ecert
      usage:      # 所签发证书的KeyUsage extension域
        - digital signature
      expiry: 8760h
    profiles:    # 不同的签发配置
      ca:        # 签署中间层CA证书时的配置模板
         usage:
           - cert sign    # 所签发证书的KeyUsage extension域
         expiry: 43800h
         caconstraint:
           isca: true
           maxpathlen: 0    # 限制该中间层CA无法进一步签署中间层CA

###########################################################################
#  Certificate Signing Request (CSR) section.
#  This controls the creation of the root CA certificate.
#  The expiration for the root CA certificate is configured with the
#  "ca.expiry" field below, whose default value is "131400h" which is
#  15 years in hours.
#  The pathlength field is used to limit CA certificate hierarchy as described
#  in section 4.2.1.9 of RFC 5280.
#  Examples:
#  1) No pathlength value means no limit is requested.
#  2) pathlength == 1 means a limit of 1 is requested which is the default for
#     a root CA.  This means the root CA can issue intermediate CA certificates,
#     but these intermediate CAs may not in turn issue other CA certificates
#     though they can still issue end entity certificates.
#  3) pathlength == 0 means a limit of 0 is requested;
#     this is the default for an intermediate CA, which means it can not issue
#     CA certificates though it can still issue end entity certificates.
###########################################################################
#csr:                 # CA自身证书的申请请求配置. 当CA作为根证书服务时, 将基于请求生成一个自签名的证书; 当CA作为中间证书服务时, 将请求发送给上层的根证书进行签署 
#   cn:               # 建议与服务器名一致
#   names:
#      - C: CN  
#        ST: beijing
#        L: beijing
#        O: xitech
#        OU: xichain
#   hosts:
#     - organizations.xionbockchain.marathon.xichain.com.cn
#   ca:       # 配置后会加入到证书的扩展字段
#      expiry: 131400h
#      pathlength: 1

#############################################################################
# BCCSP (BlockChain Crypto Service Provider) section is used to select which
# crypto library implementation to use
#############################################################################
bccsp:        # 配置所选择的加密库
    default: SW
    sw:
        hash: SHA2
        security: 256
        filekeystore:
            # The directory used for the software file-based keystore
            keystore: msp/keystore           # 存放密钥文件的路径

#############################################################################
# Multi CA section
#
# Each Fabric CA server contains one CA by default.  This section is used
# to configure multiple CAs in a single server.
#
# 1) --cacount <number-of-CAs>
# Automatically generate <number-of-CAs> non-default CAs.  The names of these
# additional CAs are "ca1", "ca2", ... "caN", where "N" is <number-of-CAs>
# This is particularly useful in a development environment to quickly set up
# multiple CAs.
#
# 2) --cafiles <CA-config-files>
# For each CA config file in the list, generate a separate signing CA.  Each CA
# config file in this list MAY contain all of the same elements as are found in
# the server config file except port, debug, and tls sections.
#
# Examples:
# fabric-ca-server start -b admin:adminpw --cacount 2
#
# fabric-ca-server start -b admin:adminpw --cafiles ca/ca1/fabric-ca-server-config.yaml
# --cafiles ca/ca2/fabric-ca-server-config.yaml
#
#############################################################################

cacount:

cafiles:

#############################################################################
# Intermediate CA section
#
# The relationship between servers and CAs is as follows:
#   1) A single server process may contain or function as one or more CAs.
#      This is configured by the "Multi CA section" above.
#   2) Each CA is either a root CA or an intermediate CA.
#   3) Each intermediate CA has a parent CA which is either a root CA or another intermediate CA.
#
# This section pertains to configuration of #2 and #3.
# If the "intermediate.parentserver.url" property is set,
# then this is an intermediate CA with the specified parent
# CA.
#
# parentserver section
#    url - The URL of the parent server
#    caname - Name of the CA to enroll within the server
#
# enrollment section used to enroll intermediate CA with parent CA
#    profile - Name of the signing profile to use in issuing the certificate
#    label - Label to use in HSM operations
#
# tls section for secure socket connection
#   certfiles - PEM-encoded list of trusted root certificate files
#   client:
#     certfile - PEM-encoded certificate file for when client authentication
#     is enabled on server
#     keyfile - PEM-encoded key file for when client authentication
#     is enabled on server
#############################################################################
intermediate:
  parentserver:
    url:
    caname:

  enrollment:
    hosts:
    profile:
    label:

  tls:
    certfiles:
    client:
      certfile:
      keyfile:

1.3.编写启动配置文件ca.yaml文件

[root@node6 ~]# mkdir -p /u01/chainConfig/configfile/ca

[root@node6 ~]# cd /u01/chainConfig/configfile/ca

[root@node6 ~]# vi ca.yaml

vi ca.yaml
version: '2'

services:
  ca:
    image: hyperledger/fabric-ca:x86_64-1.0.1
    ports:
      - "7054:7054"
    command: sh -c "fabric-ca-server start -b admin:adminpw -d"
    environment:
      - FABRIC_CA_HOME=/etc/hyperledger/fabric-ca-server
    volumes:
      -  /u01/ca:/etc/hyperledger/fabric-ca-server

1.4 在启动CA服务之前,我们要选择一个组织作为CA节点的根,也就说用哪个组织的根证书去发行证书,在前几篇博文中我们配置了五个org,我这里选择org1作为发行证书的根,把ca下的证书复制并重新命名,新的名字是根据fabric-ca-server-config.yaml文件中设置的名字一样。

[root@node6 ~]# cp /u01/chainConfig/crypto-config/peerOrganizations/ywhOrg1.example.com/ca/ca.ywhOrg1.example.com-cert /u01/ca/ca-cert.pem

[root@node6 ~]# cd /u01/chainConfig/crypto-config/peerOrganizations/ywhOrg2.example.com/ca/*_sk /u01/ca/ca-key.pem

#如果在fabric-ca-server-config.yaml文件中关闭了tls  这个命令就可以不用运行
[root@node6 ~]# mv /u01/chainConfig/crypto-config/peerOrganizations/ywhOrg1.example.com/users/User1\@ywhOrg1.example.com/tls/* /u01/ca

1.5 在把配置文件和我们所需要的证书都完成后,启动CA服务就可以了

[root@node6 ~]# docker-compose -f /u01/chainConfig/configfile/ca/ca.yaml up -d

2.申请用户

2.1 CA启动以后我们要使用CA服务来测试能否申请用户,并发行证书,使用脚本申请用户的时候可以先把tls通讯关闭,否则会报通讯的错误。

关于fabric-ca-client命令可以上网查询一下,这个命令在之前下载的平台特定二进制文件中没有,需要自己另外下载并放到bin目录下

下载地址:https://nexus.hyperledger.org/content/repositories/releases/org/hyperledger/fabric-ca/

我下载的是liunx-adm64的

[root@node6 ~]# mkdir -p /u01/users/

[root@node6 ~]# cd /u01/users/

[root@node6 ~]# vi createUser.sh

#!/bin/bash

USERNAME=test
CALOCATION=47.104.255.180:7054
#修改为当前CA的IP和端口

#
# enroll admin, after enroll admin, the msp files will store in the default msp directory. 
# if the msp directory doesn't exist, we need to enroll an new pair of cert and prikey 
#
#
enrollAdmin () {
echo enroll admin  
fabric-ca-client enroll -u http://lianpai:lianpai888@${CALOCATION} 
}

# 
# create new user, 
#
createUser () {
    echo
    echo
    echo Createuser ${USERNAME}----#########################################################

    fabric-ca-client register --id.name ${USERNAME} --id.type peer --id.affiliation lianpai.baochain  \
        --id.attrs hf.Revoker=true --id.attrs '"hf.Registrar.Roles=user,peer,client,validator,auditor"'  \
        --id.attrs hf.IntermediateCA=true --id.attrs '"hf.Registrar.DelegateRoles=user,peer,client,validator,auditor"'  \
        --id.secret ${USERNAME}pw 


    fabric-ca-client enroll --csr.hosts ${USERNAME} -u http://${USERNAME}:${USERNAME}pw@${CALOCATION} --mspdir /$(pwd)/${USERNAME}/msp/ 

}



start () {
export PATH=$PATH:/u01/chainConfig/bin
	sleep 0.001
    enrollAdmin
	sleep 0.001
    createUser  

}

USERNAME=$1
echo --------------------------------------------------------
echo ----------create msp files for $USERNAME ----------------
echo --------------------------------------------------------
start


[root@node6 ~]# sh createUser.sh test   #如果没有关闭tls的话 就会跟下面一样,有个错误
[root@node7 users]# sh createUser.sh test
--------------------------------------------------------
----------create msp files for test ----------------
--------------------------------------------------------
enroll admin
2018/09/30 15:46:41 [INFO] User provided config file: /root/.fabric-ca-client/fabric-ca-client-config.yaml
2018/09/30 15:46:41 [INFO] generating key: &{A:ecdsa S:256}
2018/09/30 15:46:41 [INFO] encoded CSR
Error: POST failure [Post http://172.31.145.195:7054/enroll: malformed HTTP response "\x15\x03\x01\x00\x02\x02\x16"]; not sending
POST http://172.31.145.195:7054/enroll
Authorization: Basic c3l0ZXN0OnN5MTIzNDU2
{"hosts":["node7"],"certificate_request":"-----BEGIN CERTIFICATE REQUEST-----\nMIIBOzCB4wIBADBeMQswCQYDVQQGEwJVUzEXMBUGA1UECBMOTm9ydGggQ2Fyb2xp\nbmExFDASBgNVBAoTC0h5cGVybGVkZ2VyMQ8wDQYDVQQLEwZGYWJyaWMxDzANBgNV\nBAMTBnN5dGVzdDBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABDW+oKepIc235APE\n/z1OxDtcpO+5ICywf9vAd+93/Jxe3fv7DpPDxtZB0OR62iuaZoiki9v3i887s4Hz\nye9WO/igIzAhBgkqhkiG9w0BCQ4xFDASMBAGA1UdEQQJMAeCBW5vZGU3MAoGCCqG\nSM49BAMCA0cAMEQCIH7A6bgBoqMYZGWDyV1GGCczWeeQuwCmbODfwaDDoOFqAiA1\nDA9NT741Po5PngxujcenjFiGqJ0GcAtbZttD4dupDQ==\n-----END CERTIFICATE REQUEST-----\n","profile":"","crl_override":"","label":"","CAName":""}


Createuser test----#########################################################
2018/09/30 15:46:41 [INFO] User provided config file: /root/.fabric-ca-client/fabric-ca-client-config.yaml
2018/09/30 15:46:41 [INFO] Configuration file location: /root/.fabric-ca-client/fabric-ca-client-config.yaml
Error: POST failure [Post http://172.31.145.195:7054/register: malformed HTTP response "\x15\x03\x01\x00\x02\x02\x16"]; not sending
POST http://172.31.145.195:7054/register
Authorization: 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.MEQCICKAJNRJCWfrViXKcWDGA5206751TSL9fISOOdg8rxO0AiBJaNjsF6HCYSSAMEp+e7qLR0zg2lRaIGky8ngkzFwWgQ==
{"id":"test","type":"peer","secret":"testpw","max_enrollments":-1,"affiliation":"sytest.sy123456","attrs":[{"name":"hf.Revoker","value":"true"},{"name":"hf.Registrar.Roles","value":"user,peer,client,validator,auditor"},{"name":"hf.IntermediateCA","value":"true"},{"name":"hf.Registrar.DelegateRoles","value":"user,peer,client,validator,auditor"}]}
2018/09/30 15:46:41 [INFO] User provided config file: /root/.fabric-ca-client/fabric-ca-client-config.yaml
2018/09/30 15:46:41 [INFO] generating key: &{A:ecdsa S:256}
2018/09/30 15:46:41 [INFO] encoded CSR
Error: POST failure [Post http://172.31.145.195:7054/enroll: malformed HTTP response "\x15\x03\x01\x00\x02\x02\x16"]; not sending
POST http://172.31.145.195:7054/enroll
Authorization: Basic dGVzdDp0ZXN0cHc=
{"hosts":["test"],"certificate_request":"-----BEGIN CERTIFICATE REQUEST-----\nMIIBOTCB4AIBADBcMQswCQYDVQQGEwJVUzEXMBUGA1UECBMOTm9ydGggQ2Fyb2xp\nbmExFDASBgNVBAoTC0h5cGVybGVkZ2VyMQ8wDQYDVQQLEwZGYWJyaWMxDTALBgNV\nBAMTBHRlc3QwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAATkRbdsh6KRGFDjob2N\nn9vU1+HMWIIrUFJpYxVNMXu7ZJ8MaiOCgvSCRtR9tyQZ6WXpkk6pa5nWoMV1HrYy\nKqpDoCIwIAYJKoZIhvcNAQkOMRMwETAPBgNVHREECDAGggR0ZXN0MAoGCCqGSM49\nBAMCA0gAMEUCIQDkooKJY7vBP8lhXG7qPOFHRQS6cAcU6nB5vn3RjGN14gIgawX2\n0Hb5Tb8bTS21MHGE26t9tLz8+MIX5jFX2RsMnGo=\n-----END CERTIFICATE REQUEST-----\n","profile":"","crl_override":"","label":"","CAName":""}


[root@node7 users]# sh createUser.sh test1    #这是没有开启tls的,成功注册了一个用户  密码是testpw
--------------------------------------------------------
----------create msp files for test1 ----------------
--------------------------------------------------------
enroll admin
2018/09/30 15:49:59 [INFO] User provided config file: /root/.fabric-ca-client/fabric-ca-client-config.yaml
2018/09/30 15:49:59 [INFO] generating key: &{A:ecdsa S:256}
2018/09/30 15:49:59 [INFO] encoded CSR
2018/09/30 15:49:59 [INFO] Stored client certificate at /root/.fabric-ca-client/msp/signcerts/cert.pem
2018/09/30 15:49:59 [INFO] Stored CA root certificate at /root/.fabric-ca-client/msp/cacerts/172-31-145-195-7054.pem


Createuser test1----#########################################################
2018/09/30 15:49:59 [INFO] User provided config file: /root/.fabric-ca-client/fabric-ca-client-config.yaml
2018/09/30 15:49:59 [INFO] Configuration file location: /root/.fabric-ca-client/fabric-ca-client-config.yaml
Password: test1pw
2018/09/30 15:49:59 [INFO] User provided config file: /root/.fabric-ca-client/fabric-ca-client-config.yaml
2018/09/30 15:49:59 [INFO] generating key: &{A:ecdsa S:256}
2018/09/30 15:49:59 [INFO] encoded CSR
2018/09/30 15:49:59 [INFO] Stored client certificate at /u01/users/test1/msp/signcerts/cert.pem
2018/09/30 15:49:59 [INFO] Stored CA root certificate at /u01/users/test1/msp/cacerts/172-31-145-195-7054.pem

相应的在/u01/users文件夹中也出现了test和test1两个文件夹,一个失败的和一个成功的,可以对比一下两个文件夹下的东西。

上面部署的是CA服务,tls的跟上面唯一区别就是证书用的不同,一个用的是ca文件夹下的,一个是用的tlsca文件夹下的

走到这里,CA服务的申请用户基本完成了。

 

人生长恨水
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么需要进行CA证书链的校验
u012938083的博客
12-12 1230
CA 证书是 TLS 安全协议中进行 身份认证 的重要内容之一,这个知识在解决 信任链 的问题,即允许身份认证通过的客户端和服务端建立安全通信。 “可是 CA 证书究竟是什么?和 SSL 证书是什么关系?CA 证书为何可以进行身份认证呢?”以上种种,是我在学习这部分知识之前的困惑,也是本文想探究和分享的内容。 本文的面向对象是:产品经理 或者 其他对该知识感兴趣的读者,非研发视角。
hyperledger fabric各类节点及其故障分析
weixin_30698527的博客
04-07 807
1.Client节点 client代表由最终用户操作的实体,它必须连接到某一个peer节点或者orderer节点上与区块链网络通信。客户端向endorser提交交易提案,当收集到足够背书后,向排序服务广播交易,进行排序,生成区块。但是该节点的故障不会影响区块链网络的正常运行。 2.CA节点 CA节点hyperledger 1.0的证书颁发机构,由服务器(fabric-ca-servic...
CA认证与节点保密通信系统的设计与实现
weixin_42098322的博客
06-18 1338
描述了建立CA认证系统和节点保密通信系统的模块以及功能
Hyperledger Fabric CA 部署示例
黑帽子技术的博客
03-12 984
Hyperledger Fabric 二进制文件启动 Org1 组织 CA 部署 Org1 TLS CA 初始化 ...
hyperledger-fabric第五天 -Fabric-CA多机节点部署
fegus的博客
04-23 945
1. Fabric梳理 1.1 fabric网络的搭建过程 生成节点证书 # 1. 编写组织信息的配置文件, 该文件中声明每个组织有多少个节点, 多少用户 # 在这个配置文件中声明了每个节点访问的地址(域名) # 一般命名为crypto-config.yaml $ cryptogen generate --config=xxx.yaml 生成创始块文件和通道文件 编写配置文件 - configtx.yaml 配置组织信息 name ID msp anchor peer
Fabric学习九)部署Fabric CA以及出现问题的相关记录
Wannabe_hacker的博客
03-01 1229
本实验将继续采用从我之前的FabricCA单机多节点为目标构建,在学习七中我使用三个orderer节点,两个组织以及组织下各有两个peer节点组成网络。所以在容器配置中我们会设定一个tlsCA和一个orderer的CA(我这里设置为组织0),以及两个普通组织(内有peer节点)的CA,共四个CA
hyperledger-fabric-ca-linux-amd64-1.4.6.tar.gz
08-19
Hyperledger Fabric CA Linux AMD64 1.4.6.tar.gz是一款专为Linux平台的AMD64架构设计的Hyperledger Fabric认证服务Fabric CA)的二进制文件压缩包。该压缩包的核心在于其提供的bin目录,包含了运行和管理Fabric ...
hyperledger-fabric-ca-linux-amd64-1.5.2.tar.gz
03-29
1. **Hyperledger Fabric CA**:Hyperledger Fabric CA是用于身份管理和证书生命周期管理的服务。它负责为参与网络的组织、节点和用户生成、注册、激活和撤销数字证书。CA服务是区块链网络中安全性的基石,因为它...
hyperledger-fabric-ca-linux-amd64-2.0.1.zip
04-06
这个压缩包主要用于在Linux环境中安装和运行Fabric CA服务,以便在Hyperledger Fabric网络上进行身份管理。 在解压这个压缩包后,用户将获得以下功能: 1. **安装和配置**:文件包含了执行所需的所有二进制文件,...
hyperledger-fabric-ca-linux-amd64-1.4.2.tar.gz
11-23
《深入理解Hyperledger Fabric CA:基于hyperledger-fabric-ca-linux-amd64-1.4.2.tar.gz的解析》 Hyperledger Fabric是Linux基金会主导的区块链开源项目,旨在为企业级区块链解决方案提供基础架构。其核心组件之一...
fabric-sdk-node:适用于节点https的Hyperledger Fabric SDK
05-13
适用于Node.js的Hyperledger Fabric客户端SDK 分支建置状态主要的 版本2.2 版本1.4 Hyperledger Fabric客户端SDK使使用API​​与Hyperledger Fabric区块链进行交互成为可能。 本自述文件是针对该项目的当前或将来的...
hyperledger fabric1.0动态添加peer节点fabric-ca应用
好记性不如烂笔头
07-17 2704
前言:了解过的应该都知道fabric1.0中e2e_cli实例,在启动时应用的证书及创世块、通道配置创世块、锚节点配置文件是由工具生成,作为动态添加peer节点不建议使用工具和fabric-ca混合生成证书文件进行互相认证,这里我们使用fabric-ca生成(同工具一样的)配置文件,并额外生成动态添加peer的证书文件。动态添加peer是基于e2e_cli实例进行的,所以前提是大家的e2e_cli...
fabric-ca服务搭建
搬山境KL攻城狮的修炼手册
09-04 1161
fabric-ca服务搭建 文章目录fabric-ca服务搭建一、Fabric CA概述二、基础环境搭建三、fabric-ca服务搭建1.ca_orderer2.ca_org13.ca_org2四、证书生成 一、Fabric CA概述 Fabric Server端由一个服务器集群组成,以树形架构组织CA Server节点,包含一个Root 节点和多个中间节点。每个CA要么是根CA,要么是中间CA。每个中间CA都有一个父CA,它要么是根CA,要么是另一个中间CA。 可以通过Client或SDK与服务器集群中
数字证书生命周期包含哪些阶段及作用
jianqu6506的博客
12-22 3614
证书的初始化、颁发证书、取消证书三个阶段 证书的初始化:证书的初始化是指用户在使用PKI之前,必须经过初始化进入PKI。 1、实体注册 2、密钥对的产生 3、证书创建和密钥分发 4、证书分发 5、密钥备份 颁发证书:颁发阶段是私钥和公钥证书一旦被产生即可进入颁发状态 1、证书检索 2、证书验证 3、密钥恢复 4、密钥更新 证书取消:证书取消阶段是证书管理生命周期的结束 1、证书过期 2、证书撤销 3、密钥历史 4、密钥档案 ...
Fabric CA 官方用户指南(中文版)
一颗贪婪的星
05-20 2万+
目录 一、Fabric CA概述 ​二、开始使用 (一)先决条件 (二)安装Fabric-ca (三)启动服务方式 三、Fabric CA Server (一)初始化Server (二)启动Server (三)配置数据库 1. PostgreSQL 2. MySQL (四)配置LDAP (五)配置多个CAs 四、Fabric CA Client (一)登记引导身份 ...
数字证书及CA详解
热门推荐
lk2684753的博客
08-30 8万+
文章目录1. 证书1.1 证书的应用场景1.2 证书标准规范X.5091.2.1 证书规范1.2.2 证书格式1.2.3 CA证书1.3 公钥基础设施(PKI)1.3.1 什么是公钥基础设施1.3.2 PKI的组成要素用户认证机构(CA)仓库1.3.3 各种各样的PKI2.Fabric - ca2.1 简介2.2 基本组件2.3 安装2.4 初始化&快速启动2.5 服务端配置文件解析2.6...
FISCO BCOS上使用第三方CA证书底层节点部署实操
FISCO_BCOS的博客
03-09 871
CA证书怎么生成?节点相互验证证书时会交叉验证吗?对于社区常遇到的此类问题,分享一些个人使用第三方CA证书部署底层节点的经验,希望可以给大家一些借鉴与参考。 为什么要对第三方CA证书进行改造? 首先,说明一下我进行第三方CA证书改造的背景和原因: 社区内经常有人会问到第三方CA证书的改造问题,个人感觉这是大家都关注的要点。 在我们的一些项目中,业务方指定要使用第三方CA证书,实际的生产需求也要求我们进行CA改造。 在司法领域区块链存证场景中,需要由具有电子认证许...
超级账本Fabric的架构与设计
博客
09-07 6459
超级账本Fabric项目自诞生之日起就吸引了全球众多企业的密切关注,已经先后发布了两个大的版本,0.6实验版本(2016年9月)和1.0正式版本(2017年7月)。 目前,超级账本Fabric架构上核心特性主要包括: 解耦了原子排序环节与其他复杂处理环节,消除了网络处理瓶颈,提高可扩展性; 解耦交易处理节点的逻辑角色为背书节点(Endorser)、确认节点(Committer),可以根据负载...
Fabric ca学习笔记
Zach_z的博客
12-25 1961
一、为什么要有fabric-ca 1.1 Fabric账号 1.1.1 为什么要有Fabric账号 不同于传统的账号体系(由账号和密码两个属性组成,账号和密码只是获取操作权限的工具) 区块链系统的一个特点:记录在区块链中的数据具有不可逆、不可篡改的特性。 根据这一特性,Fabric中每条交易都会加上发起者的标签(签名证书),同时用发起人的私钥进行加密。如果交易需要其他租住的节点提供背书功能,背书节...
hyperledger-fabric-linux-amd64-2.2.0.tar.gz
最新发布
06-25
用户可以通过下载该软件包并按照相关文档进行安装和部署来使用Hyperledger Fabric平台搭建自己的区块链网络。 Hyperledger Fabric平台是一个开放且可扩展的企业级区块链解决方案,它提供了高度灵活的合约机制和身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值