Hyperledger fabric 如何在Hyperledger结构中区分“cryptogen”生成的客户端证书和对等证书?
我已经用cryptogen生成了证书 并使用openssl检查生成的证书,发现它缺少可用于区分对等角色和客户端角色的信息。我相信管理员是可以区分的,因为管理员证书是用区块链编写的,但没有关于客户端和对等方的信息Hyperledger fabric 如何在Hyperledger结构中区分“cryptogen”生成的客户端证书和对等证书?,hyperledger-fabric,Hyperledger Fabric,我已经用cryptogen生成了证书 并使用openssl检查生成的证书,发现它缺少可用于区分对等角色和客户端角色的信息。我相信管理员是可以区分的,因为管理员证书是用区块链编写的,但没有关于客户端和对等方的信息 Certificate: Data: Version: 3 (0x2) Signature Algorithm: ecdsa-with-SHA256 Issuer: C = US, ST = California, L = San
Certificate:
Data:
Version: 3 (0x2)
Signature Algorithm: ecdsa-with-SHA256
Issuer: C = US, ST = California, L = San Francisco, O = test.com, CN = ca.test.com
Validity
Not Before: Sep 19 01:49:00 2019 GMT
Not After : Sep 16 01:49:00 2029 GMT
Subject: C = US, ST = California, L = San Francisco, CN = User1@test.com
...
Error: proposal failed (err: bad proposal response 500: access denied for [JoinChain][testc]: [Failed verifying that proposal's creator satisfies local MSP principal during channelless check policy with policy [Admins]: [This identity is not an admin]])
因此,角色系统按预期工作,但CSCC实际上是如何了解证书角色的?是否存在隐藏机制?这是hyperledger fabric平台自行处理的一些事情。我们只需要处理客户端证书hyperledger结构支持基于属性的证书。因此,您可以通过它们的属性识别不同的证书
在结构网络中,每个组件都有自己的标识。这意味着每个组件都有自己的证书,该证书由结构自行处理 这是hyperledger fabric平台自行处理的事情。我们只需要处理客户端证书hyperledger结构支持基于属性的证书。因此,您可以通过它们的属性识别不同的证书
在结构网络中,每个组件都有自己的标识。这意味着每个组件都有自己的证书,该证书由结构自行处理 管理员证书存储在msp的admincerts目录中。如果事务的签名可以通过它进行验证,我们可以说事务的发送者是admincerts。简而言之,fabric不是从证书本身而是从msp了解证书角色。管理员的证书存储在msp的admincerts目录中。如果事务的签名可以通过它进行验证,我们可以说事务的发送者是admincerts。简而言之,fabric不是从证书本身而是从msp了解证书角色。它非常简单,没有什么复杂或隐藏的机制,正如您所知,它是一个PKI 每个实体对等,订购方都有自己的MSP 那么MSP中存在什么呢
.
├── admincerts
├── cacerts
├── keystore
├── signcerts
└── tlscacerts
检查它非常直截了当,没有什么复杂或隐藏的机制,正如您所知,它是一个PKI 每个实体对等,订购方都有自己的MSP 那么MSP中存在什么呢
.
├── admincerts
├── cacerts
├── keystore
├── signcerts
└── tlscacerts
检查我的答案基于Fabric 1.4.3及更高版本 您看到的特定错误意味着您没有使用被视为对等方管理员的标识密钥/证书对调用JoinChannel API。在1.4.3之前,管理员是通过将证书显式放置在对等方本地MSP目录的admincerts文件夹中来定义的。在1.4.3及更高版本中,您还可以通过通用名称中的特定OU来识别管理员。有关更多详细信息,请参见下文 因此,您需要使用对等管理员调用JoinChannel API。使用cryptogen时,将在用户目录中创建一个管理员用户。调用JoinChannel时应使用此标识 有关MSP角色及其定义方式的详细信息: 有5种可能的角色: 管理 同龄人 客户 订购者 成员 为了使用对等、客户端和订购者角色,您需要启用。使用基于文件夹的MSP结构时,可通过在MSP目录根目录的config.yaml文件中设置Enable NodeOUs来实现:
NodeOUs:
Enable: true
ClientOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: client
PeerOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: peer
AdminOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: admin
OrdererOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: orderer
PeerOrgs:
- Name: org1
Domain: org1.example.com
EnableNodeOUs: true
Template:
Count: 2
SANS:
- "localhost"
- "127.0.0.1"
- "{{.Hostname}}-{{.Domain}}"
Users:
Count: 1
我的答案基于Fabric 1.4.3及更高版本 您看到的特定错误意味着您没有使用被视为对等方管理员的标识密钥/证书对调用JoinChannel API。在1.4.3之前,管理员是通过将证书显式放置在对等方本地MSP目录的admincerts文件夹中来定义的。在1.4.3及更高版本中,您还可以通过通用名称中的特定OU来识别管理员。有关更多详细信息,请参见下文 因此,您需要使用对等管理员调用JoinChannel API。使用cryptogen时,将在用户目录中创建一个管理员用户。调用JoinChannel时应使用此标识 有关MSP角色及其定义方式的详细信息: 有5种可能的角色: 管理 同龄人 客户 订购者 成员 为了使用对等、客户端和订购者角色,您需要启用。使用基于文件夹的MSP结构时,可通过在MSP目录根目录的config.yaml文件中设置Enable NodeOUs来实现:
NodeOUs:
Enable: true
ClientOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: client
PeerOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: peer
AdminOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: admin
OrdererOUIdentifier:
Certificate: cacerts/ca.sampleorg-cert.pem
OrganizationalUnitIdentifier: orderer
PeerOrgs:
- Name: org1
Domain: org1.example.com
EnableNodeOUs: true
Template:
Count: 2
SANS:
- "localhost"
- "127.0.0.1"
- "{{.Hostname}}-{{.Domain}}"
Users:
Count: 1