是否可以使用通用公共 CA(如 DigiCert)或任意非结构 CA 作为中间结构 CA 服务器的父级?官方文档似乎假设您仅使用 Fabric CA 作为父母。
这个问题背后的意图是减轻单个根 CA 的集中性。
编辑:“非Fabric CA”是指Fabric CA以外的任何可以充当CA的实现,例如OpenSSL。
是否可以使用通用公共 CA(如 DigiCert)或任意非结构 CA 作为中间结构 CA 服务器的父级?官方文档似乎假设您仅使用 Fabric CA 作为父母。
这个问题背后的意图是减轻单个根 CA 的集中性。
编辑:“非Fabric CA”是指Fabric CA以外的任何可以充当CA的实现,例如OpenSSL。
是的,您可以使用第三方证书作为根 (RCA) 来生成中间证书 (ICA)。您可以将 Fabric CA 配置为使用 ICA 来颁发 peer/orderer 证书。
如果您希望 Fabric CA 服务器使用您提供的 CA 签名证书和密钥文件,则必须将文件分别放在 ca.certfile 和 ca.keyfile 引用的位置。这两个文件都必须经过 PEM 编码,并且不得加密。更具体地说,CA 证书文件的内容必须以 -----BEGIN CERTIFICATE----- 开头,并且密钥文件的内容必须以 -----BEGIN PRIVATE KEY----- 开头,而不是-----开始加密私钥----。
在此处查看示例 Fabric Config 文件。在启动 CA 服务器之前,属性 ca.certfile、ca.keyfile 和 ca.chainfile 必须指向 ICA。