fabric 2.0.0 外部(external)chaincode 开启tls认证

最新推荐文章于 2023-03-08 09:32:53 发布
最新推荐文章于 2023-03-08 09:32:53 发布
阅读量1k 收藏 2
点赞数
分类专栏: fabric
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38751513/article/details/105789331
版权

踩了两天的坑记录下:在fabric2.0.0,运行外部链码,并且通过tls加密传输

fabric2.0.0,运行外部链码的教程可见官方文档

https://hyperledger-fabric.readthedocs.io/zh_CN/latest/cc_service.html
https://hyperledger-fabric.readthedocs.io/zh_CN/latest/cc_launcher.html

在搭建完外部启动链码后,需要从ca生成tls-clinet证书和tls证书,不作为本章重点,略过

开启tls认证需要在chaoncode端开启,也需要在peer端connection文件开启

 

1.chaoncode

为了通用性,直接从环境变量读取chaoncode端的tls证书

1.1配置环境变量

            #TLS
            - name: CORE_PEER_TLS_CERT_FILE
              value: /hyperledger/chaincode-container/tls-msp/signcerts/cert.pem
            - name: CORE_PEER_TLS_KEY_FILE
              value: /hyperledger/chaincode-container/tls-msp/keystore/key.pem
            - name: CORE_PEER_TLS_ROOTCERT_FILE
              value: /hyperledger/chaincode-container/tls-msp/tlscacerts/tls-ca-tls-7052.pem

本人是在k8s上跑的,需要自行改成docker或其他,总之就是导入以上环境变量即可

1.2chaoncode链码端

在原链码中添加以下

func loadTLSFile(filePth string) ([]byte, error) {
	f, err := os.Open(filePth)
	if err != nil {
		return nil, err
	}
	return ioutil.ReadAll(f)
}

// main function starts up the chaincode in the container during instantiate
func main() {
	CORE_PEER_TLS_KEY_FILE, err := loadTLSFile(os.Getenv("CORE_PEER_TLS_KEY_FILE"))
	if err != nil {
		fmt.Printf("Error loadTLSFile : %s", err)
	}
	CORE_PEER_TLS_CERT_FILE, err := loadTLSFile(os.Getenv("CORE_PEER_TLS_CERT_FILE"))
	if err != nil {
		fmt.Printf("Error loadTLSFile : %s", err)
	}
	CORE_PEER_TLS_ROOTCERT_FILE, err := loadTLSFile(os.Getenv("CORE_PEER_TLS_ROOTCERT_FILE"))
	if err != nil {
		fmt.Printf("Error loadTLSFile : %s", err)
	}

	fmt.Println("Running chaincode...")
	server := &shim.ChaincodeServer{
		CCID:    os.Getenv("CHAINCODE_CCID"),
		Address: os.Getenv("CHAINCODE_ADDRESS"),
		CC:      new(SimpleAsset),
		TLSProps: shim.TLSProperties{
			Disabled:      false,
			Key:           CORE_PEER_TLS_KEY_FILE,
			Cert:          CORE_PEER_TLS_CERT_FILE,
			ClientCACerts: CORE_PEER_TLS_ROOTCERT_FILE,
		},
	}

	// Start the chaincode external server
	err = server.Start()

	if err != nil {
		fmt.Printf("Error starting  chaincode: %s", err)
	}

}

要配置的关键地方就是 TLSProps: shim.TLSProperties以下的参数,直接从环境变量读取

 

2.peer端

1.1修改connection.json文件

坑的地方来了,根据官方构建的脚本,从中写入以下逻辑:从环境变量的CORE_PEER_TLS_CLIENTROOTCAS_FILES,CORE_PEER_TLS_CLIENTCERT_FILE,CORE_PEER_TLS_CLIENTKEY_FILE中读取文件,写入到连接信息中,其中连接信息在connection.json中通过tls_required,client_auth_required来控制

connection.json文件如下配置

{
    "address": "chaincode-container:9999",
    "dial_timeout": "10s",
    "tls_required": true,
    "client_auth_required": true,
    "client_key": "CORE_PEER_TLS_CLIENTKEY_FILE",
    "client_cert": "CORE_PEER_TLS_CLIENTCERT_FILE",
    "root_cert": "CORE_PEER_TLS_CLIENTROOTCAS_FILES"
}

在release的构建脚本中,读取环境变量CORE_PEER_TLS_CLIENTROOTCAS_FILES,CORE_PEER_TLS_CLIENTCERT_FILE,CORE_PEER_TLS_CLIENTKEY_FILE均不能读取,排查了半天,终于在官方文档中找出问题(一定一定一定一定一定一定一定一定要好好阅读官方文档)

2.2 修改core.yaml

原来在构建脚本中,读取环境变量需要设置白名单,这下就好办了,在core.yaml中添加以下:

    externalBuilders: 
         - path: /opt/gopath/src/github.com/hyperledger/fabric/peer/external
           name: builder
           environmentWhitelist:
              - CORE_PEER_TLS_CLIENTROOTCAS_FILES
              - CORE_PEER_TLS_CLIENTCERT_FILE
              - CORE_PEER_TLS_CLIENTKEY_FILE

这样在构建脚本中就可以读取到环境变量的值了

2.3 修改release脚本

#!/bin/sh

# The bin/release script is responsible for providing chaincode metadata to the peer. 
# bin/release is optional. If it is not provided, this step is skipped. 
#
# The peer invokes release with two arguments:
# bin/release BUILD_OUTPUT_DIR RELEASE_OUTPUT_DIR
#
# When release is invoked, BUILD_OUTPUT_DIR contains the artifacts 
# populated by the build program and should be treated as read only input. 
# RELEASE_OUTPUT_DIR is the directory where release must place artifacts to be consumed by the peer.
function one_line_pem {
    echo "`awk 'NF {sub(/\\n/, ""); printf "%s\\\\\\\n",$0;}' $1`"
}

set -euo pipefail

BUILD_OUTPUT_DIR="$1"
RELEASE_OUTPUT_DIR="$2"

# copy indexes from metadata/* to the output directory
if [ -d "$BUILD_OUTPUT_DIR/META-INF" ] ; then
   cp -a "$BUILD_OUTPUT_DIR/META-INF/"* "$RELEASE_OUTPUT_DIR/"
fi

#external chaincodes expect artifacts to be placed under "$RELEASE_OUTPUT_DIR"/chaincode/server
if [ -f $BUILD_OUTPUT_DIR/connection.json ]; then
   mkdir -p "$RELEASE_OUTPUT_DIR"/chaincode/server
   cp $BUILD_OUTPUT_DIR/connection.json "$RELEASE_OUTPUT_DIR"/chaincode/server

   #替换连接chaincode的tls-client证书
   CORE_PEER_TLS_CLIENTKEY_FILE=$(one_line_pem $CORE_PEER_TLS_CLIENTKEY_FILE)
   CORE_PEER_TLS_CLIENTCERT_FILE=$(one_line_pem $CORE_PEER_TLS_CLIENTCERT_FILE)
   CORE_PEER_TLS_CLIENTROOTCAS_FILES=$(one_line_pem $CORE_PEER_TLS_CLIENTROOTCAS_FILES)

   sed -i "s|CORE_PEER_TLS_CLIENTKEY_FILE|$CORE_PEER_TLS_CLIENTKEY_FILE|g" "$RELEASE_OUTPUT_DIR"/chaincode/server/connection.json
   sed -i "s|CORE_PEER_TLS_CLIENTCERT_FILE|$CORE_PEER_TLS_CLIENTCERT_FILE|g" "$RELEASE_OUTPUT_DIR"/chaincode/server/connection.json
   sed -i "s|CORE_PEER_TLS_CLIENTROOTCAS_FILES|$CORE_PEER_TLS_CLIENTROOTCAS_FILES|g" "$RELEASE_OUTPUT_DIR"/chaincode/server/connection.json


   exit 0
fi

exit 1

以上,就可以完成peer端向外部链码通讯时采用tls加密,历时两天,终于从坑里爬出....

以上经验告诉我们,实践前,请仔细阅读官方文档...

不搬砖的程序员不是好程序员
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fabric externalbuilders 脚本说明
星星点灯的博客
07-07 213
#!/bin/bash # Copyright IBM Corp. All Rights Reserved. # # SPDX-License-Identifier: Apache-2.0 set -euo pipefail # set -e表示一旦脚本中有命令的返回值为非0,则脚本立即退出,后续命令不再执行; # set -o pipefail表示在管道连接的命令序列中,只要有任何一个命令返回非0值,则整个管道返回非0值,即使最后一个命令返回0. #set -u 就可以让脚本遇到错误时停止执行,.
Hyperledger Fabric区块链分布式账本 v2.0.0
08-19
Hyperledger Fabric 是由 Linux 基金会发起创建的开源区块链分布式账本。 Hyperledger Fabric 是一个开源区块链实现,开发环境建立在 VirtualBox 虚拟机上,部署环境可以自建网络,也可以直接部署
关于fabric-ca的tls通信加密说明
weixin_44542127的博客
09-26 2288
fabric-ca-server使用tls加密与fabric-ca-client之间的通信 ​ 本文章解决的是关于fabric-ca-server与fabric-ca-client之间使用tls进行通信的问题,包括fabric-ca-server与fabric-ca-client的安装以及关于tls通信的说明。 1.1fabric-ca-server与fabric-ca-clien...
FileZilla Server0.9.60报错Could not load TLS libraries 的解决方法
mozhang的博客
08-10 1259
缺少Windows的补丁KB2533623
fabric-chaincode-external
心若留念的博客
08-06 270
背景 native部署 源码链码部分采用两种模式 一个采用原先docker方式,另一个是外部部署,下面是从网络部署情况记录的 Step1. 修改peer(每一个)的core.yaml配置文件 ## 启动区块链网络之前 修改 然后再启动 chaincode: ... externalBuilders: - name: external-chaincode path: /opt/gopath/src/github.com/hyperledger/fabric/peer/
Fabric系列 - 链码- 外部链码(v2.0)
搬砖魁首的博客
03-08 1396
1)使用链码生命周期打包和部署链码(Peer节点无须再安装链码2)运行可执行链码文件作为外部链码服务启动。3)提交链码定义到通道。4)Peer通过connection.json中指定信息连接到外部链码服务。最后,用户可以调用链码,而无须关注该链码如何管理。区块链知识系列密码学系列零知识证明系列共识系列公链调研系列BTC系列以太坊系列EOS系列Filecoin系列联盟链系列Fabric系列智能合约系列Token系列。
Hyperledger Fabric v2.0.0 二进制脚本文件bin
09-27
Hyperledger Fabric2.0.0二进制文件:configtxgen、configtxlator、cryptogen、discover、fabric-ca-client、fabric-ca-server、idemixgen、orderer、peer
hyperledger-fabric-linux-amd64-2.0.0.tar.gz
04-05
《Hyperledger Fabric 2.0.0:分布式账本技术的基石》 Hyperledger Fabric是Linux基金会主导的开源项目,是区块链技术中的一个重要框架,专为构建私有、许可型区块链网络而设计。这个名为"hyperledger-fabric-linux...
hyperledger-fabric-linux-amd64-2.0.0.zip
05-14
1. **模块化架构**:Hyperledger Fabric采用了模块化设计,包括链码(Chaincode,相当于智能合约)、排序服务(Ordering Service,负责交易顺序的确定)、节点(Peers,存储和验证交易)、身份管理(Identity ...
hyperledger-fabric-linux-amd64-2.0.0.tar.gz.zip
03-03
https://github.com/hyperledger/fabric/releases/download/v2.0.0/hyperledger-fabric-darwin-amd64-2.0.0.tar.gz
fabric-external-chaincodes:K8中的Hyperledger Fabric网络,以外部Chaincodes为Pod
05-15
K8中的Hyperledger Fabric网络,以外部Chaincodes为Pod 请参阅本文中的教程和说明: : 安装二进制文件 wget https://github.com/hyperledger/fabric/releases/download/v2.3.1/hyperledger-fabric-linux-amd64-2.3.1.tar.gz tar -xzf hyperledger-fabric-linux-amd64-2.3.1.tar.gz # Move to the bin path mv bin/ * /bin # Check that you have successfully installed the tools by executing configtxgen --version # Should print the following output:
fabric网络如何开启和使用tls
ASN_forever的博客
04-12 3572
如果要开启tls,只需要将orderer、peer、cli、ca的tls属性设置为true,并配置证书、密钥等文件地址即可。也就是下面这几个属性: - CORE_PEER_TLS_ENABLED=true - CORE_PEER_TLS_CERT_FILE=xxx/tls/server.crt - CORE_PEER_TLS_KEY_FILE=xxx/tls/server.key - CORE...
超级账本 Hyperledger Fabric v2.3.3 Test network测试网络踩坑
o__o__o__o的博客
04-15 3975
最近在学习使用Fabric联盟链,并测试了官网的 `Fabric test network`。Fabric环境的配置大概梳理个流程就不赘述了,很多篇文章都有详细记录。这篇文章主要记录使用Test network测试网络的时候遇到的一些问题。
Windows2008 r2 x64下安装FTP服务器File Zilla server报错:could not load tls libraries filezilla
鸟飞鱼跃
06-14 4788
安装file zilla server的时候报错:could not load tls libraries filezilla需要安装KB2533623补丁,https://support.microsoft.com/en-us/help/2533623/microsoft-security-advisory-insecure-library-loading-could-allow-remot...
FileZilla Server报错Could not load TLS libraries 的解决方法
技术、思维
04-09 4998
安装完FileZilla Server 运行后报错 Could not load TLS libraries. Aborting start of administration interface.报错是因为操作系统缺少Windows的补丁KB2533623。 解决方法从微软官方网站下载并安装KB2533623修补程序 https://support.microsoft.com/zh-cn/help/2533623/microsoft-security-advisory-insecure-library-l
filezilla报错could not load TLS network. Aborting st
weixin_34210740的博客
12-11 1447
filezilla server FTP 安装报错 "could not load TLS network. Aborting start of administration interface" 报错附图:需要安装一个系统补丁 kb 2533623 根据自己的操作系统去下载并安装即可;安装后需要重启系统; 下载地址: https://support.microsoft.com/en-us/...
Windows2008 r2 x64下安装FTP工具File Zilla server报错:could not load tls libraries filezilla
热门推荐
王定勇15993092872
11-29 1万+
昨天使用FTPserver.exe构建FTP服务器,方便PHPStrom代码保存提交的可实施性,结果发现本软件有相关的病毒,会导致服务器挂机~,所以今天就尝试着使用File Zilla server来构建FTP服务器连接,但是下载安装之后报错,报错内容为:could not load tls libraries filezilla。上网搜索也找不到正确的解决方法,不过在我的努力下,最终我还是找到了...
Hyperledger Fabric Peer 配置解析
黑帽子技术的博客
02-23 951
Hyperledger Fabric Peer 配置解析 文中使用的 fabric 版本为 2.4.1 ...
fabric 2.0 external builder在windows上跑起来
区块链之路
03-20 560
前言 fabric2.0 可以使用external builder跑chaincode源码,方便chaincode调试,但是external builder编译和启动chaincode等操作使用的是4个bash脚本,而windows原生不支持bash。 折腾 经过一番研究(折腾),我发现只要完成以下3个步骤,即可在windows上run external chaincode。 1、安装git-wi...
FROM SERVER:220 2.0.0 Ready to start TLS
最新发布
05-30
这是从SMTP服务器返回的响应,表明服务器已准备好启用TLS(Transport Layer Security)加密,以保护SMTP会话中传输的数据。该响应中的“220”表示SMTP服务器的状态代码,表示服务器已准备好接受客户端的TLS请求。在收到此响应后,客户端应该发送一个STARTTLS命令,以启用TLS加密。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值