証明書の管理

このトピックでは、ブロックチェーンのネットワークを設定するために証明書をインポートおよびエクスポートする方法や、証明書を管理および取り消す方法など、ネットワークの証明書を管理する方法について説明します。

証明書を管理するための一般的なワークフロー

ネットワークの証明書を管理するための一般的なタスクを次に示します。

ネットワークへの組織の追加

このタスクを実行するには、管理者である必要があります。

タスク 説明 詳細情報
組織の証明書のエクスポートまたは準備 ネットワークに参加する組織は、証明書ファイルの出力または書込みを行い、ファウンダに渡します。

証明書のエクスポート

メンバー証明書のインポート ファウンダは、組織の証明書ファイルをインポートして組織をネットワークに追加します。 ネットワークに組織を追加するための証明書のインポート
証明書の表示 ファウンダは、ネットワークの証明書を表示および管理できます。 証明書の表示と管理

証明書の失効

このタスクを実行するには、管理者である必要があります。

タスク 説明 詳細情報
失効させる証明書の決定 システムの証明書を表示して、ネットワークの安全を保つために失効させる証明書を判別します。 証明書の表示と管理
失効させる証明書の選択 CA内の証明書を失効させます。 証明書の失効
CRLの適用 更新されたCRLを生成して適用し、失効した証明書を持つクライアントがチャネルにアクセスできないようにします。 CRLの適用

証明書のエクスポート

ネットワークを作成するには、ファウンダと参加者組織は、証明書JSONファイルをインポートおよびエクスポートする必要があります。

次の点に注意してください。
  • ファウンダが参加者組織をブロックチェーン・ネットワークに追加するには、参加者が証明書ファイルをエクスポートしてファウンダが使用できるようにする必要があります。ファウンダは証明書ファイルをアップロードして参加者組織をネットワークに追加します。

  • 証明書のエクスポート・ファイルには、admincerts、cacertsおよびtlscacertsが含まれます。

  • ブロックチェーンやアプリケーション開発者用に証明書をエクスポートすることが必要になる場合があります。たとえば、クライアント・アプリケーションは、ピアまたはオーダラと対話するためにTLS証明書を必要とします。

Hyperledger Fabricまたは第三者組織をネットワークに追加するために必要な証明書ファイルの書込みの詳細は、「ネットワークの拡張」を参照してください。

  1. コンソールに移動し、ネットワーク・タブを選択します。
  2. ネットワーク・タブで、組織表に移動し、証明書のエクスポート対象のメンバーを特定してその他のアクション・ボタンをクリックします。
  3. 「証明書のエクスポート」をクリックします。
    コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、REST APIで作成したエクスポート・ファイルは、コンソールを使用して正常にインポートできないということです。
  4. ファイルを保存する場所を指定します。「OK」をクリックして、証明書ファイルを保存します。
  5. 証明書JSONファイルをインポート用にファウンダに送信します。「ネットワークに組織を追加するための証明書のインポート」を参照してください。

ネットワークに組織を追加するための証明書のインポート

組織をネットワークに追加するには、ファウンダは、ネットワークに参加する組織によってエクスポートまたは準備された証明書ファイルをインポートする必要があります。

次の組織タイプの証明書をインポートできます。
タイプ 説明
Oracle Blockchain Platform参加者組織 参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。

アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「ファウンダのオーダリング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。

証明書をインポートするには、管理者である必要があります。
  1. コンソールに移動し、ネットワーク・タブを選択します。
  2. ネットワーク・タブで、「組織の追加」をクリックします。組織の追加ページが表示されます。
    コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、REST APIで作成したエクスポート・ファイルは、コンソールを使用して正常にインポートできないということです。
  3. 「組織の証明書のアップロード」をクリックします。ファイルのアップロード・ダイアログが表示されます。
  4. ネットワークに追加する組織の証明書情報が含まれるJSONファイルを特定して選択します。通常、このファイルの名前はcerts.jsonです。「開く」をクリックします。
  5. (オプション)プラス(+)アイコンをクリックして別の組織の証明書情報を探してアップロードします。
  6. 「追加」をクリックします。追加した組織が組織表に表示されます。
    Oracle Blockchain Platformの参加者およびHyperledger Fabric組織に関する次の情報に注意してください。ファウンダが証明書情報をアップロードしても、追加された組織は、ファウンダのオーダリング・サービス設定をインポートするまで、オーダリング・サービスを使用してネットワーク上で通信できません。ファウンダは、オーダリング・サービス設定をエクスポートし、結果のファイルを参加組織にインポート用に提供する必要があります。次のいずれかを参照してください:

証明書失効リストとは

証明書失効リスト(CRL)を使用すると、ネットワーク全体で証明書を管理しやすくなります。

CRLは、発行元の認証局(CA)が予定された有効期限前に失効させたため、ネットワーク上で信頼および使用できなくなったデジタル証明書のリストです。たとえば、紛失、盗難または漏えいされた証明書は失効させる必要があります。

証明書の管理機能を使用してユーザーの証明書を失効させると、Oracle Blockchain PlatformによってCRLが作成されます。ネットワーク全体で証明書が失効するようにするには、次のことを行う必要があります:

  • 別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、CRLの適用機能を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の表示と管理

コンソールを使用して、インスタンス内のユーザー証明書およびネットワークの構築時にインポートした証明書を表示および管理します。

  1. コンソールに移動し、ネットワーク・タブを選択します。
  2. ネットワーク・タブで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
    インスタンスにユーザーを追加するまで、証明書のサマリー表は空であることに注意してください。また、管理者の証明書はこの表には表示されません。これは、管理者の証明書を誤って失効させることを防ぐためです。
    この表に、証明書が失効しているHyperledger Fabric組織は表示されません。このような場合、ネイティブHyperledger Fabric CLIまたはSDKを使用して、組織の証明書失効リスト(CRL)ファイルをインポートする必要があります。
    証明書のサマリー・ダイアログが表示され、インスタンス内の証明書のリストが表示されます。
  3. 必要に応じて、次のいずれかのタスクを実行します:
    • 証明書を失効させます。「証明書の失効」を参照してください。
    • 証明書を失効させ、複数のメンバーがいるネットワークで作業している場合、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、「CRLの適用」を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の失効

組織は、ユーザーの証明書を失効させることができます。ネットワークの安全を守るために、証明書が紛失、盗難、漏えいされた場合、証明書を失効させる必要があります。

このタスクを実行するには、管理者である必要があります。
  1. コンソールに移動し、ネットワーク・タブを選択します。
  2. ネットワーク・タブで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
    証明書のサマリー・ダイアログが表示されます。
  3. 証明書のサマリー・ダイアログで、証明書を失効させるユーザーのIDを特定して選択します。
  4. 「失効」をクリックし、選択したユーザーの証明書を完全に失効させることを確定します。
    失効した証明書を持つユーザーが表に表示され、CRLに追加されます。
  5. 他のメンバーがいるネットワークで作業している場合、失効した証明書がネットワーク全体でクリーンアップされるようにするには、次の操作を行う必要があります:
    • 複数のメンバーがいるネットワークで作業している場合、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、CRLを適用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

CRLの適用

ネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、CRLを適用する必要があります。CRLの適用により、失効した証明書を持つメンバーはチャネルにアクセスできなくなります。

CRLを適用する前に次のタスクを実行する必要があります:
このタスクを実行するには、管理者である必要があります。
  1. コンソールに移動し、ネットワーク・タブを選択します。
  2. ネットワーク・タブで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
    証明書のサマリー・ダイアログが表示されます。
  3. CRLの適用ボタンをクリックし、CRLを適用することを確認します。