Hyperledger fabric 在Hyperledger结构中更新证书时会发生什么情况?
我正在采用Hyperledger结构为我的业务构建应用程序 由于特许区块链(如Fabric)在很大程度上依赖PKI进行身份管理,而且网络上的每一笔交易都需要参与组件的签名,因此交易流和具有这些签名的交易最终会永久保留在分类账中 我想知道如果参与的组件必须更新其证书会发生什么情况?例如,原始证书过期或私钥受损 具体来说,我想知道:Hyperledger fabric 在Hyperledger结构中更新证书时会发生什么情况?,hyperledger-fabric,blockchain,Hyperledger Fabric,Blockchain,我正在采用Hyperledger结构为我的业务构建应用程序 由于特许区块链(如Fabric)在很大程度上依赖PKI进行身份管理,而且网络上的每一笔交易都需要参与组件的签名,因此交易流和具有这些签名的交易最终会永久保留在分类账中 我想知道如果参与的组件必须更新其证书会发生什么情况?例如,原始证书过期或私钥受损 具体来说,我想知道: 在最佳实践中,证书续期是否需要新的PKI密钥对,或者是否应使用原始密钥对创建新证书并延长其有效性 如果私钥被泄露,我必须撤销原始证书并使用新的证书和新的密钥对,该怎么办
首先,Fabric中有两种类型的证书:
- TLS证书
- 入学证
但是,有一个检查注册证书过期的代码路径:每当来自对等方或客户端的请求通过身份验证以访问资源(即,客户端想要执行链码,或者对等方想要拉块)时,服务器(对等方/订购方)也会检查注册证书的证书过期. 非常感谢你的回答,亚科姆。非常感谢您指出fabric中的两种不同类型的证书。通过对两种不同类型证书的说明,我能够理解,在TLS证书的情况下,只有组件间连接身份验证可能会受到影响,只需将其替换为新证书即可轻松处理。在注册证书的情况下,关于签名证书到期或撤销前签名的有效性,我同意签名证书到期或撤销后仍然有效。当我发布这个问题时,我正在寻找一种技术方法来验证签名是否在其签名证书的有效期内签名。然后我发现了一种称为时间戳签名的方法,它产生了一个可信的时间戳授权机构,用可信的时间戳对我们的数据进行签名。时间戳签名似乎是一种好方法,但我不确定验证这些签名的结构方法是什么。最后,我认为保留您提到的CRL对于拒绝使用中的无效证书和验证历史签名都是必需的。我编辑了我的答案,因为我忘了提及一些内容。您好@yacovm,您添加了一个检查注册证书过期的代码路径,因此,我知道不可能使用过期的展开证书,是吗?看看这个()
Should renewal of a certificate require a new PKI key pair in best practice, or should a new certificate be created with the original key