4

注意:我使用的是 Go SDK,但这应该适用于 Node、Java 等 SDK。

我正在使用一个fabric-ca实例作为我的证书颁发机构,对于现实的生产环境,我需要使用安全连接。

根据config-e2e.yaml示例配置文件 [1],我们应该可以https在 CA url 中使用。例子:

certificateAuthorities:
  org1-ca:
    url: https://localhost:7054

但是,一旦需要,SDK 要求在[1] 部分https中添加 TLS 证书/密钥文件路径:client

tlsCACerts:
      # Comma-Separated list of paths
      path: {filepath}
      # Client key and cert for SSL handshake with Fabric CA
      client:
        key:
          path: {filepath}
        cert:
          path: {filepath}

但是,其他文档 [2] 表明该tlsCACerts部分用于双向 TLS 连接,并且基于我对 TLS [3] 的有限理解,https连接不需要双向 TLS(大多数浏览器不使用双向 TLS 来保护联系)。

有人可以解释一下:

1)保护(https)SDK(客户端)和CA / peer / orderer之间连接的最简单方法?

2) 为什么我们将 TLS 证书/密钥文件路径硬编码到配置文件中,而在生产中使用时应该经常刷新这些文件路径?

注意:这个问题/答案似乎表明您不需要双向 TLS 来建立安全连接,但是如果我添加https:到我的 CA url,我会收到错误,直到我填写该tlsCACerts部分。



[1] https://github.com/hyperledger/fabric-sdk-go/blob/master/test/fixtures/config/config_e2e.yaml
[2](参见“客户端身份验证”与服务器端 TLS 设置)https ://hyperledger-fabric.readthedocs.io/en/release-1.2/enable_tls.html
[3] http://www.cafesoft.com/products/cams/ps/docs32/admin/SSLTLSPrimer.html

4

1 回答 1

1

下面的答案是关于Node SDK的,但希望他们能对这个问题有所了解

1)保护(https)SDK(客户端)和CA / peer / orderer之间连接的最简单方法?

节点 sdk 不支持与启用了 clientauth(又名双向 TLS)的结构 ca 服务器通信 [ 1 ]

(启用 TLS 的)服务器提供的 TLS 证书根据tlsCACerts. 验证过程可以被认为是运行以下命令:

openssl verify -CAfile <tlsCACerts> <cert-provided-by-server>

tlsCACerts属性是在network-config.yaml文件中为每个 peer、orderer 和 fabric ca 服务器设置的——如果他们愿意,所有这些都可以使用不同的tlsCACerts

对于 peer 和 orderer,node sdk 确实支持 clientauth(或双向 TLS),但它必须在代码中设置,而不是在 [ 2 ] 中描述的配置文件中 - 请参阅他们展示如何使用的部分client.setTlsClientCertAndKey(cert, key)

问题中的陈述

tlsCACerts 部分用于双向 TLS 连接

是错的。

2) 为什么我们将 TLS 证书/密钥文件路径硬编码到配置文件中,而在生产中使用时应该经常刷新这些文件路径?

我不认为这些会经常刷新。如果他们是,那么具有讽刺意味的是,config 将是 IMO 的正确位置。

问题中的这个陈述

https 连接不需要双向 TLS(大多数浏览器不使用双向 TLS 来保护连接)。

是正确的。双向 TLS 启用双向验证,即服务器也验证客户端。在单向 TLS 中,只有客户端验证服务器。

于 2019-05-21T20:38:42.327 回答