証明書の管理
このトピックでは、ネットワークの証明書を管理する方法について説明します。
証明書を管理するための一般的なワークフロー
ネットワークの証明書を管理するための一般的なタスクを次に示します。
ネットワークへの組織の追加
このタスクを実行するには、管理者である必要があります。
タスク | 説明 | 詳細情報 |
---|---|---|
組織の証明書のエクスポートまたは準備 | ネットワークに参加する組織は、証明書ファイルの出力または書込みを行い、ファウンダに渡します。 | |
メンバー証明書のインポート | ファウンダは、組織の証明書ファイルをインポートして組織をネットワークに追加します。 | ネットワークに組織を追加するための証明書のインポート |
証明書の表示 | ファウンダは、ネットワークの証明書を表示および管理できます。 | 証明書の表示と管理 |
証明書のエクスポート
ネットワークを作成するには、ファウンダと参加者組織は、証明書JSONファイルをインポートおよびエクスポートする必要があります。
-
ファウンダが参加者組織をブロックチェーン・ネットワークに追加するには、参加者が証明書ファイルをエクスポートしてファウンダが使用できるようにする必要があります。ファウンダは証明書ファイルをアップロードして参加者組織をネットワークに追加します。
-
証明書のエクスポート・ファイルには、admincerts、cacertsおよびtlscacertsが含まれます。
-
ブロックチェーンやアプリケーション開発者用に証明書をエクスポートすることが必要になる場合があります。たとえば、クライアント・アプリケーションは、ピアまたはオーダラと対話するためにTLS証明書を必要とします。
Hyperledger Fabricまたは第三者組織をネットワークに追加するために必要な証明書ファイルの書込みの詳細は、「ネットワークの拡張」を参照してください。
ネットワークに組織を追加するための証明書のインポート
組織をネットワークに追加するには、ファウンダは、ネットワークに参加する組織によってエクスポートまたは準備された証明書ファイルをインポートする必要があります。
タイプ | 説明 |
---|---|
Oracle Blockchain Platform参加者組織 | 参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。
アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「証明書のエクスポート」を参照してください。 |
Hyperledger Fabric組織 | Hyperledger Fabric組織をOracle Blockchain Platformネットワークにインポートできます。Fabric組織の証明書ファイルを正常にアップロードするには、証明書ファイルを変更して、\nをすべて改行文字で置き換える必要があります。
「Fabric組織をOracle Blockchain Platformネットワークに参加させるための一般的なワークフロー」を参照してください。 |
第三者証明書組織 | 第三者CAサーバーから生成された証明書を使用している組織をインポートできます。第三者組織の証明書ファイルを正常にアップロードするには、証明書ファイルを変更して、\nをすべて改行文字で置き換える必要があります。
「第三者証明書を使用する組織をOracle Blockchain Platformネットワークに参加させるための一般的なワークフロー」を参照してください。 |
証明書失効リストとは
証明書失効リスト(CRL)を使用すると、ネットワーク全体で証明書を管理しやすくなります。
CRLは、発行元の認証局(CA)が予定された有効期限前に失効させたため、ネットワーク上で信頼および使用できなくなったデジタル証明書のリストです。たとえば、紛失、盗難または漏えいされた証明書は失効させる必要があります。
証明書の管理機能を使用してユーザーの証明書を失効させると、Oracle Blockchain PlatformによってCRLが作成されます。ネットワーク全体で証明書が失効するようにするには、次のことを行う必要があります:
- 別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、CRLの適用機能を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。
証明書の失効
組織は、ユーザーの証明書を失効させることができます。ネットワークの安全を守るために、証明書が紛失、盗難、漏えいされた場合、証明書を失効させる必要があります。
CRLの適用
ネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、CRLを適用する必要があります。CRLの適用により、失効した証明書を持つメンバーはチャネルにアクセスできなくなります。
-
証明書を失効させます。「証明書の失効」を参照してください