如何解决具有证书透明性的Hyperledger Fabric证书验证
这是有关Hyperledger Fabric中证书验证的理论问题。 Fabric如何处理诸如证书颁发机构受损的情况?它会监视公共日志服务器以确保证书有效吗?
解决方法
证书吊销列表
证书吊销列表(CRL)易于理解-只是CA已知由于某种原因而吊销的证书参考列表。如果您回想起商店的情况,CRL就像一张被盗信用卡的列表。
当第三方想要验证另一方的身份时,它首先检查签发的CA的CRL,以确保证书未被吊销。验证者不必检查CRL,但如果不这样做,则冒着接受泄露身份的风险。
使用CRL检查证书仍然有效。如果冒名顶替者试图将已泄露的数字证书传递给验证方,则可以首先与颁发CA的CRL进行对照,以确保该证书不再列为不再有效。
生成CRL(证书吊销列表)
在Fabric CA服务器中吊销证书后,还必须更新Hyperledger Fabric中的相应MSP。这包括对等方的本地MSP以及相应通道配置块中的MSP。为此,必须将PEM编码的CRL(证书吊销列表)文件放在MSP的crls文件夹中。 fabric-ca-client gencrl命令可用于生成CRL。具有hf.GenCRL属性的任何标识都可以创建一个CRL,其中包含在一定时期内被吊销的所有证书的序列号。创建的CRL存储在/crls/crl.pem文件中。
以下命令将创建一个CRL,其中包含所有已撤销的证书(过期和未过期),并将CRL存储在〜/ msp / crls / crl.pem文件中。
export FABRIC_CA_CLIENT_HOME=~/clientconfig
fabric-ca-client gencrl -M ~/msp
下一条命令将创建一个CRL,其中包含在2017-09-13T16:39:57-08:00(由–revokedafter标志指定)之后以及2017-09-21T16之前被吊销的所有证书(已过期和未过期) :39:57-08:00(由–revokedbefore标志指定),并将CRL存储在〜/ msp / crls / crl.pem文件中。
export FABRIC_CA_CLIENT_HOME=~/clientconfig
fabric-ca-client gencrl --caname "" --revokedafter 2017-09-13T16:39:57-08:00 --revokedbefore 2017-09-21T16:39:57-08:00 -M ~/msp
–caname标志指定此请求发送到的CA的名称。在此示例中,gencrl请求被发送到默认的CA。
–revokedafter和–revokedbefore标志指定时间段的上下边界。生成的CRL将包含在此时间段内被吊销的证书。该值必须是以RFC3339格式指定的UTC时间戳。 –revokedafter时间戳不能大于–revokedafter时间戳。
默认情况下,CRL的“下一次更新”日期设置为第二天。可以使用crl.expiry CA配置属性来指定自定义值。
gencrl命令还将接受–expireafter和–expirebefore标志,这些标志可用于生成带有已撤销证书的CRL,这些证书在这些标志指定的时间段内到期。例如,以下命令将生成一个CRL,其中包含在2017-09-13T16:39:57-08:00之后和2017-09-21T16:39:57-08:00之前被吊销的证书,这些证书在2017-09-13T16:39:57-08:00和2018-09-13T16:39:57-08:00之前
export FABRIC_CA_CLIENT_HOME=~/clientconfig
fabric-ca-client gencrl --caname "" --expireafter 2017-09-13T16:39:57-08:00 --expirebefore 2018-09-13T16:39:57-08:00 --revokedafter 2017-09-13T16:39:57-08:00 --revokedbefore 2017-09-21T16:39:57-08:00 -M ~/msp
除此之外,Hyperledger Fabric还提供了可插拔共识协议,其安全性也取决于您的可插拔MSP。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
