问题标签 [notary]

TL;DR - 当一个副本被杀死时，具有 4-5 个公证节点的 BFT 集群会停止。

我运行了公证人演示，Raft 集群（有 3 个公证人节点）表现如预期 - 当我杀死领导者时，会有选举，公证人集群继续提供可靠的服务。

我希望在运行 BFT 集群（有 4 个公证节点）时也会发生同样的事情——杀死其中一个副本不应阻止集群提供可靠的公证服务。但是，会发生以下情况：

1）启动BFT公证集群

2）我可以使用 10 笔交易进行公证gradlew samples:notary-demo:notarise

3) 停止集群中的一个副本

4) 尝试使用 10 笔交易进行公证gradlew samples:notary-demo:notarise

5）等待几分钟，没有任何反应（交易未经公证）

6）所有剩余的副本终端不断填充re-connecting to replica 1 at /127.0.0.1:11010

为了安全起见，我决定在集群中添加另一个公证节点。但是，没有任何变化——有 5 个公证节点，杀死其中一个节点会使集群停止运行。

我研究了 BFT SMaRt 的工作原理，但据我所知，只要有足够的工作副本（N >= 3f + 1），它就应该能够容忍任何故障（包括崩溃停止）。

我在这里缺少什么吗？我期望的行为是否不合理 - 具有 4-5 个公证节点的 BFT 集群能够容忍 1 个节点死亡？还是 Corda 的问题？

在 docker trust 通过 GitLab CI 为我工作了一个月后，我突然收到了这条消息。

我有一个 Gitlab Runner，它挂载 ~/.docker/trust （因此它保持不变）并将其推送到我们的 QA 注册表。

但是推送命令以：

当我查看root.json文件时，到期时间不是很长：

同样适用于targets.json：

所以我对正在发生的事情感到茫然，可能不明白它想要做什么。有没有人有任何见解？

我正在尝试设置 docker，以便它与修改后的公证人版本一起使用，从我的 HSM 中提取私钥。

为此，我正在使用来自公证人的这个叉子： https ://github.com/gemalto/notary

公证命令正在运行，我可以毫无问题地签署文件，并且私钥存储在我的 HSM 中。不过，我似乎无法让 docker 使用我修改后的公证人。有没有办法例如更改一些 bin 文件或修改配置文件以获得我想要的效果？

我要做的是修改命令docker trust sign，使其使用我修改后的公证人并从 HSM 中提取根密钥。

我正在使用沙盒帐户并尝试设置 eNotary 配置文件。由于它是一个沙盒区域，我假设我不需要有效的公证人 ID 来创建一个。

有人可以帮我在我的沙盒帐户上设置公证人资料吗？

新添加的 QA 问题：所有测试用户都必须经历同样的过程吗？还是只是主要帐户需要设置。原因是，我们有一个将使用该系统的客户。对于我们的团队和他们的团队，我们将需要帐户来测试这一点。

添加图像

我们有一个客户端设置，他们希望对所有文档使用 docusign。

在 eNotary 过程中，他们希望拥有例如：

公证人 A -> 签字人 1
公证人 A -> 签字人 2
**公证人 A 放置印章（这是 1 个印章还是 2 个？）

公证人 B -> 签字人 3
公证人 B -> 签字人 4
公证人 B -> 签字人 5
**公证人 B 放置印章（这是 3 个印章还是 1 个？）

在沙盒下的 UI 中。我可以很好地做到这一点。使用 api 对象，我得到了错误。

{"errorCode":"ENVELOPE_HAS_DUPLICATE_RECIPIENTS","message":"指定的信封有重复的收件人。"}

我不确定是什么原因造成的，因为沙盒下的 UI 显示这是一项功能强大的功能。

提前感谢
吉米的帮助

我们使用 Java SE 11 开发了 GUI 工具，使用 Maven 打包。建议用户下载并在系统路径中设置Java以启动该工具。Windows 的批处理文件和 Mac 和 Linux 的 .command 文件。我们是否需要获得苹果的公证批准才能在 Mac OS 中使用它。请指教

谢谢

我对 Docker 内容信任 (DCT) 机制不熟悉，对根密钥有点困惑。第一次将签名者添加到新存储库时，系统会要求我输入 root 和存储库密钥的密码。之后在目录中生成一个带有根密钥 ID 的密钥文件~/.docker/trust/private。到目前为止一切顺利，但是当我执行时，我在管理密钥部分docker trust inspect <repo name>下获得了不同的根密钥 ID 。

你能给我解释一下吗？

我按照本指南设置内容信任环境并推送图像。 https://cloud.ibm.com/docs/Registry?topic=registry-registry_trustedcontent#trustedcontent_setup 但似乎在使用“docker trust inspect”检查时图像未签名。顺便说一句，我正在使用免费帐户。有什么需要启用公证支持吗？

我正在尝试使用 Docker Content Trust 设置运行时强制，如此处所述：https ://docs.docker.com/engine/security/trust/content_trust/#runtime-enforcement-with-docker-content-trust 。

我可以进行设置，但问题是在我的情况下，信任服务器在单独的 URL/端口上运行，似乎无法在 docker daemon configuration 中指定信任服务器 url。我最好的猜测是，它期望信任服务器与注册表在相同的 url 上运行，这是默认的 docker 客户端行为（在我们的例子中，我们正在运行 Harbor，它使用的 helm 图表将信任服务器设置在与注册表不同的端口）

我尝试使用 DOCKER_CONTENT_TRUST_SERVER 环境变量，但是 docker daemon 的运行时强制选项几乎忽略了这一点（如果我在守护进程中关闭运行时强制并将其与 DOCKER_CONTENT_TRUST 一起使用，那么一切正常）。但是由于安全要求，以及需要使用与这些设置一起使用的签名的信任固定，我需要以某种方式进行设置。

有人可以指出，我在这里缺少什么，或者是否有另一种方法可以做到这一点？另外，我正在使用 Docker Enterprise（这是预期的，因为此功能仅在企业版中可用）