2

我有一个使用一个 Fabric CA 运行的单组织设置。CA 服务器与 MySQL 一起运行。我正在使用 NodeSDK 连接和发布交易到链码。

我可以为同行和订购者设置国家、州、地区、组织和组织单位属性。但是,当我向 Fabric 注册和注册“用户”时,并非所有属性都已设置。从证书文件中可以看出,仅设置了通用名称和组织单位属性。

以下是我用于注册和注册用户的代码段:

await gateway.connect(connectionProfile, { wallet, identity: 'admin', discovery: { enabled: false } });

ca = await gateway.getClient().getCertificateAuthority();
adminIdentity = gateway.getCurrentIdentity();

const secret = await ca.register({
                affiliation: user.$affiliation,
                enrollmentID: user.$name,
                role: user.$role,
               }, adminIdentity);

const enrollment = await ca.enroll({
                    enrollmentID: user.$name,
                    enrollmentSecret: secret,
                 });
const userIdentity = await X509WalletMixin.createIdentity(process.env.ACTIVE_MSP, enrollment.certificate, enrollment.key.toBytes());

在这里,“用户”是我在我的应用程序中使用的参与者的模型。Common Name (CN) 设置为“enrollmentID”,Organization Unit 设置为“role”+“affiliation”,生成的用户证书包含以下信息:

Owner: CN=jondoe, OU=client + OU=admin.forwarder.com
Issuer: CN=ca.allparticipants.logistics.com, 
O=allparticipants.logistics.com, L=Bengaluru, ST=Karnataka, C=IN
Serial number: ea385863390c07c320fd6717de7878fd9f81dc3e
Valid from: Mon Apr 15 14:11:00 IST 2019 until: Tue Apr 14 14:16:00 IST 2020
Certificate fingerprints:
     MD5:  …<value>
     SHA1: …<value>
     SHA256: …<value>
Signature algorithm name: SHA256withECDSA
Subject Public Key Algorithm: 256-bit EC key
Version: 3

Extensions: 
…

正如我们所见,Issuer 的完整 C、ST、L、O、OU 和 CN 属性是可用的。这属于各自组织的 MSP。但是,只有用户的 CN 和 OU 可用。

那么有没有一种方法可以在注册或注册用户时设置用户的其他属性(C、ST、L 和 O)。还是我们必须从发行者信息中推断出这些属性?

更新:1:我检查了 node-sdk 内部调用的 fabric-ca-client cli 选项。检查了注册API。它也没有提供设置 C、ST、L 和 O 的选项。

更新:fabric-ca 是否支持将这些属性设置为主题名称?

更新:2:通过fabric-ca-client 的文档并按照@nyet 的建议,我观察到我们可以在csr.names 属性中设置这些值并将其提供给enroll 命令的'csr' 参数。下面更新的代码片段:

await gateway.connect(connectionProfile, { wallet, identity: 'admin', discovery: { enabled: false } });

ca = await gateway.getClient().getCertificateAuthority();

adminIdentity = gateway.getCurrentIdentity();

const secret = await ca.register({
            affiliation: user.$affiliation,
            enrollmentID: user.$name,
            role: user.$role,
           }, adminIdentity);

const csrObj: any = {};
csrObj.names = 'O=Forwarder,C=IN,ST=Karnataka,L=Bengaluru';

const enrollment = await ca.enroll({
            csr: csrObj.toString(),
            enrollmentID: user.$name,
            enrollmentSecret: secret,
            });

const userIdentity = await X509WalletMixin.createIdentity(process.env.ACTIVE_MSP, enrollment.certificate, enrollment.key.toBytes());

但是,我收到一个错误,上面写着:

未能注册 smithdoe20,错误:%o 消息=注册失败,错误 [[{"code":0,"message":"{\"code\":9002,\" message\":\"CSR 解码失败\ "}"}]], stack=Error: Enrollment failed with errors [[{"code":0,"message":"{\"code\":9002,\"message\":\"CSR Decode failed\ "}"}]]

类似的 JIRA 问题:https ://jira.hyperledger.org/browse/FAB-14051?jql=project%20%3D%20FAB%20AND%20statusCategory%20!%3D%20Done%20AND%20type%20%3D%20Bug %20AND%20component%20%3D%20fabric-sdk-node%20AND%20project%20%3D%20FAB%20ORDER%20BY%20createdDate%20ASC

更新:3:Node-SDK 文档指出 CSR 字段应该是 PEM 编码的 PKCS#10 证书签名请求。

  1. 我尝试利用 node-forge npm 模块生成密钥并使用它签署提案。但是,这会提供 RSA 密钥。
  2. 尝试使用 node-pem。也没有成功。

最后,尝试生成 ECDSA 密钥并使用以下命令离线创建 CSR: 1. 密钥生成:openssl ecparam -name prime256v1 -genkey -noout -out my-key.pem 2. CSR:openssl req -new -sha256 -key my-key.pem -out my.csr

从文件系统中读取此 CSR 并将其传递给 Enrollment Request,如下所示:

 const csrNewVal = readFileSync('/Users/mrudavshukla/projects/pem-trials/ecdsa/my.csr', 'utf8');
 const enrollment = await ca.enroll({
                    csr: csrNewVal,
                    enrollmentID: user.$name,
                    enrollmentSecret: secret,
                });

能够成功注册用户。

现在,当我们传递 CSR 时,fabric-ca 不会返回我们的注册密钥。因此,我从文件系统的#1 命令中检索了私钥,并尝试将这个用户的身份详细信息保存在 X509 钱包中,如下所示:

const privateNewVal = readFileSync('/Users/mrudavshukla/projects/pem-trials/ecdsa/my-key.pem', 'utf8');
const userIdentity = await X509WalletMixin.createIdentity(process.env.ACTIVE_MSP, enrollment.certificate, privateNewVal);

但是,这会引发以下错误:

错误:[crypto_ecdsa_aes]:importKey - {“消息”:“不理解除 ECDSA 私钥和证书之外的 PEM 内容”,“堆栈”:“错误:不理解除 ECDSA 私钥和证书之外的 PEM 内容... .

接下来,我尝试使用 fabric-ca 在我们不提供 CSR 时生成的证书检查为该用户保存的证书。两者在结构和用于公钥的签名算法上完全相同。

我错过了任何关键部分吗?

4

2 回答 2

5

寻找其他模块来生成 ECDSA 密钥并使用这些密钥签署 CSR 是没有意义的。结构本身提供了模块来做到这一点。解决步骤如下:

  1. 'fabric-client' 模块提供 CryptoSuite 实现。使用这个加密套件,我们可以生成密钥。这些密钥将是 ECDSA 256 位密钥。
  2. 我们可以使用“jsrsasign”模块来创建 CSR。我们可以在创建 CSR 时将 #1 中生成的密钥与主题信息一起传递给方法。它的实施将签署它。当我们不通过 CSR 时,Fabric 内部使用此方法。
  3. 接下来,将此 CSR 传递给 EnrollmentRequest。
  4. 在使用 X509WalletMixin 创建用于存储到钱包中的身份时,使用来自注册请求的证书和从 #1 生成的密钥。

下面的代码:

await gateway.connect(connectionProfile, { wallet, identity: 'admin', discovery: { enabled: false } });

ca = await gateway.getClient().getCertificateAuthority();
adminIdentity = gateway.getCurrentIdentity();

const secret = await ca.register({
                affiliation: user.$virtualOrganizationBranch,
                enrollmentID: user.$name,
                role: user.$role,
            }, adminIdentity);

const privateKey = await hfc.newCryptoSuite().generateKey({ephemeral: true});

const subjectDN: string = 'CN=' + user.$name + ',C=IN,ST=Karnataka,L=Bengaluru,O=Forwarder';

const asn1 = jsrsa.asn1;
const csr = asn1.csr.CSRUtil.newCSRPEM({
                sbjprvkey: privateKey.toBytes(),
                sbjpubkey: privateKey.getPublicKey().toBytes(),
                sigalg: 'SHA256withECDSA',
                subject: {str: asn1.x509.X500Name.ldapToOneline(subjectDN)},
            });

const enrollment = await ca.enroll({
                csr,
                enrollmentID: user.$name,
                enrollmentSecret: secret,
            });

const userIdentity = await X509WalletMixin.createIdentity(process.env.ACTIVE_MSP, enrollment.certificate, privateKey.toBytes());
await wallet.import(user.$name, userIdentity);
于 2019-04-18T10:08:20.323 回答
1

如果使用fabric-ca-clientfabric-ca-client enroll --csr.names "O=Org,C=US,ST=State,L=Locality" ...应该可以工作。我知道这不是节点,但希望它能让你朝着正确的方向前进。

于 2019-04-15T14:46:56.187 回答