11.9 生产环境部署

Fabric CA在整个证书管理环节中处于十分核心的位置。在生产环境中部署时，必须从多个方面进行考虑，以充分确保安全性、可靠性、规范性等指标。

1.根证书的生成

根证书目前可以通过从权威机构（包括GolbalSign、VeriSign）申请，或采用自行签名的方式生成。技术上来讲，两者都可以完成部署过程，并且都能保证同样的安全。但不同场景下两者各有利弊，总结如表11-12所示。

表11-12　权威机构颁发与自行签名比较

因此，如果应用场景不仅包括私有网络，而且需要可靠的证书机制，推荐采用权威机构颁发的根证书；如果仅面向私有网络场景，并且技术团队有较丰富的证书管理经验，则可以采用自行签名的方法进行部署。

2.分层部署结构

在实际部署中，PKI推荐采用分层的结构，即不由根CA来直接签发证书，而是通过由根CA签发的中间CA甚至更下层CA（统称为intermediate CA），来实现对服务器实体和用户证书的管理，Fabric CA很好地支持了该功能。分层CA如图11-1所示。

图11-1　分层CA部署

之所以采用分层结构，是因为CA颁发证书的过程都需要CA的私钥进行签名，而一旦CA私钥发生泄露或所颁发证书被破坏，则该CA的信任性就遭到了破坏，需要对该CA以及依赖它的所有安全机制进行重建（可以想象，更换一个根CA（Root CA）将带来大量变更和挑战）。

因此，通过分层结构，可以隔离破坏的风险，即便发生私钥泄露，也只是影响到某个中间CA。并且，该CA一旦出现问题，其自身的证书很容易被上层CA撤销。同时，采用分层结构的情况下，根证书私钥可以处于离线状态，进行最强等级的保护（如采用基于硬件的机制），以保障安全。

3.TLS机制

Fabric CA采用了证书来识别网络中的身份，并进一步进行权限管控。TLS证书则从另一个维度来保护网络中的通信。

TLS证书在通信双方建立安全连接时，同样采用了证书机制来进行身份识别。最常见的情况是服务端启用TLS机制。这种情 况下客户端会事先获取服务端的证书，并请求服务端发送带有签名的消息，用可信的服务端证书进行认证。反过来，也可以对客户端进行TLS认证，这样就确保连 接到服务端的用户都是预先许可的用户。

需要注意的是，Fabric中的证书和TLS证书是两个层面：前者进行网络中的身份管理；后者确保安全连接。为了达到更安全的级别，建议同时启用这两种机制。

4.负载均衡和高可用

由于FabricCA的服务端是典型的提供RESTful请求的Web服务，因此很容易采用传统Web服务器进行扩展的方式来实现负载均衡和高可用，包括开源的Nginx、HAProxy或商用的F5等。

这里给出基于HAProxy 1.7.0+的配置例子，负载均衡到四个本地fabric-ca服务上。

新建一个配置文件haproxy.cfg，内容为：

---

global # 全局属性
   daemon  # 是否在后台运行
   maxconn 4096  # 最大支持的并发连接数

defaults # 默认的参数，对其他段都起作用
   mode tcp  # tcp转发模式，也可以为http模式
   timeout connect 5000ms  # 连接到后端server的超时
   timeout client 15000ms  # 来自客户端的超时时间
   timeout server 15000ms  # 后端服务器的超时时间

frontend http-in # 前端服务http-in，接收来自客户端的请求
   bind *:7054  # 监听在对外的7054端口
   default_backend fabric-ca  # 转发的后端服务名称

backend  fabric-ca # 后端服务，转发的目标，一共四个服务
   balance roundrobin
   server server1 127.0.0.1:8001 maxconn 1024
   server server2 127.0.0.1:8002 maxconn 1024
   server server3 127.0.0.1:8003 maxconn 1024
   server server4 127.0.0.1:8004 maxconn 1024

---

启动四个fabric-ca-server服务，分别监听到本地的8001、8002、8003、8004端口上。后端都连接到同一个数据库集群，因此数据库也需要支持高可用。

之后采用如下命令启动HAProxy服务即可：

---

$ haproxy -f haproxy.cfg

---

本章小结

本章具体讲解了Fabric CA项目提供的诸多功能，包括如何安装、配置，以及使用它来满足管控Fabric网络中身份证书的诸多需求。

基于CFSSL开源组件，Fabric CA项目提供了用户的注册、证书的分发和撤销等核心功能，并且支持分层的部署模型、TLS、负载均衡等特性，方便满足不同的复杂应用场景。

实际上，Fabric CA项目遵循了PKI体系。因此，在部署和使用PKI过程中的最佳实践可以很好地应用到Fabric CA项目中以确保安全。当然，作为一套处于核心位置的安全系统，除了技术上要尽量规避漏洞以外，在规章制度、操作流程上更要进行严格规定和充分的实践检 验。

来源：我是码农，转载请保留出处和链接！

本文链接：http://www.54manong.com/?id=907

'); (window.slotbydup = window.slotbydup || []).push({ id: "u3646208", container: s }); })();

'); (window.slotbydup = window.slotbydup || []).push({ id: "u3646147", container: s }); })();