Zertifikate verwalten
Dieses Thema enthält Informationen zur Verwaltung der Zertifikate Ihres Netzwerks, wie Sie Zertifikate importieren und exportieren, um Ihr Blockchain-Netzwerk einzurichten, und wie Sie Zertifikate verwalten und entziehen.
Typische Workflows zum Verwalten von Zertifikaten
Im Folgenden werden die allgemeinen Aufgaben zur Verwaltung der Zertifikate Ihres Netzwerks aufgeführt.
Organisationen zum Netzwerk hinzufügen
Sie müssen Administrator sein, um diese Aufgaben auszuführen.
Aufgabe | Beschreibung | Weitere Informationen |
---|---|---|
Zertifikate einer Organisation exportieren oder vorbereiten | Die Organisation, die dem Netzwerk beitreten möchte, gibt entweder die Zertifikatsdatei aus oder schreibt sie und gibt sie an den Gründer weiter. |
Zertifikatsdatei einer Fabric-Organisation erstellen Datei für Drittanbieterzertifikate einer Organisation erstellen |
Mitgliedszertifikate importieren | Der Gründer importiert die Zertifikatsdatei der Organisation, um die Organisation zum Netzwerk hinzuzufügen. | Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen |
Zertifikate anzeigen | Der Gründer kann die Zertifikate des Netzwerks anzeigen und verwalten. | Zertifikate anzeigen und verwalten |
Zertifikate entziehen
Sie müssen Administrator sein, um diese Aufgaben auszuführen.
Aufgabe | Beschreibung | Weitere Informationen |
---|---|---|
Entscheiden, welche Zertifikate entzogen werden sollen | Zeigen Sie die Zertifikate auf Ihrem System an, um festzustellen, welche Zertifikate entzogen werden müssen, um die Sicherheit des Netzwerks zu gewährleisten. | Zertifikate anzeigen und verwalten |
Zu entziehende Zertifikate auswählen | Entziehen Sie die Zertifikate in Ihrer CA. | Zertifikaten entziehen |
CRL anwenden | Generiert und wendet eine aktualisierte CRL an, um sicherzustellen, dass Clients mit entzogenen Zertifikaten nicht auf Kanäle zugreifen können. | CRL (Zertifikatsperrliste) anwenden |
Zertifikate exportieren
Gründer und Teilnehmerorganisationen müssen JSON-Zertifikatsdateien importieren und exportieren, um das Netzwerk zu erstellen.
-
Damit der Gründer dem Blockchain-Netzwerk eine Teilnehmerorganisation hinzufügen kann, muss der Teilnehmer seine Zertifikatsdatei exportieren und dem Gründer zur Verfügung stellen. Der Gründer lädt dann die Zertifikatsdatei hoch, um die Teilnehmerorganisation zum Netzwerk hinzuzufügen.
-
Die Zertifikatsexportdatei enthält Admincerts, Cacerts und tlscacerts.
-
Möglicherweise müssen Sie Zertifikate für Blockchain- oder Anwendungsentwickler exportieren. Beispiel: Eine Clientanwendung benötigt das TLS-Zertifikat, um mit Peers oder Orderern zu interagieren.
Informationen zum Schreiben von Zertifikatsdateien, die zum Hinzufügen von Hyperledger Fabric- oder Drittanbieterorganisationen zum Netzwerk erforderlich sind, finden Sie unter Netzwerk erweitern.
Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen
Um dem Netzwerk eine Organisation hinzuzufügen, muss der Gründer eine Zertifikatsdatei importieren, die von der Organisation exportiert oder vorbereitet wurde, die dem Netzwerk beitreten möchte.
Typ | Beschreibung |
---|---|
Oracle Blockchain Platform-Teilnehmerorganisation | Sie können eine Teilnehmerorganisation in ein Oracle Blockchain Platform-Netzwerk importieren. Sie laden die Zertifikate hoch, die von der Teilnehmerorganisation aus der Konsole exportiert und an Sie gesendet wurden.
Informationen zum Erstellen von Zertifikaten für den Upload und eine Liste der anderen Schritte, die Sie ausführen müssen, um eine Teilnehmerorganisation im Netzwerk erfolgreich einzurichten, finden Sie unter Teilnehmern oder skalierten OSNs beim Bestellservice des Gründers beitreten. |
Hyperledger Fabric-Organisation | Sie können eine Hyperledger Fabric-Organisation in ein Oracle Blockchain Platform-Netzwerk importieren. Um die Zertifikatsdatei einer Fabric-Organisation erfolgreich hochzuladen, müssen Sie die Zertifikatsdatei so ändern, dass alle Instanzen von \n durch das Zeilenvorschubzeichen ersetzt werden. |
Drittzahlungsempfänger-Zertifikatsorganisation | Sie können eine Organisation importieren, die Zertifikate verwendet, die von einem externen CA-Server generiert wurden. Um die Zertifikatsdatei einer Drittorganisation erfolgreich hochzuladen, müssen Sie die Zertifikatsdatei ändern, um alle Instanzen von \n durch das Zeilenvorschubzeichen zu ersetzen. |
Was ist eine Zertifikatsperrliste?
Mithilfe einer Zertifikatswiderrufliste (Certificate Revocation List, CRL) können Sie die Zertifikate im gesamten Netzwerk verwalten.
Eine CRL (Zertifikatsperrliste) ist eine Liste digitaler Zertifikate, die die ausstellende Zertifizierungsstelle (Certificate Authority, CA) vor ihrem geplanten Ablaufdatum widerrufen hat und nicht mehr vertrauenswürdig und im Netzwerk verwendet werden sollte. Beispiel: Sie sollten Zertifikate widerrufen, die verloren gegangen sind, gestohlen wurden oder kompromittiert wurden.
Nachdem Sie mit der Funktion "Zertifikate verwalten" Zertifikate für Benutzer entzogen haben, erstellt Oracle Blockchain Platform die CRL. Um sicherzustellen, dass die Zertifikate im gesamten Netzwerk widerrufen werden, müssen Sie:
- Verwenden Sie die Funktion "CRL anwenden", nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Die Anwendung der CRL verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe Apply the CRL.
Zertifikate anzeigen und verwalten
Verwenden Sie die Konsole, um die Benutzerzertifikate in Ihrer Instanz und alle Zertifikate anzuzeigen und zu verwalten, die Sie beim Erstellen des Netzwerks importiert haben.
Zertifikaten entziehen
Eine Organisation kann Zertifikate für jeden ihrer Benutzer entziehen. Um sicherzustellen, dass das Netzwerk sicher bleibt, sollten Sie Zertifikate widerrufen, falls sie verloren gehen, gestohlen oder kompromittiert werden.
CRL (Zertifikatsperrliste) anwenden
Wenn Sie in einem Netzwerk arbeiten, müssen Sie die CRL anwenden, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Die Anwendung der CRL verhindert, dass Mitglieder mit entzogenen Zertifikaten auf den Kanal zugreifen.
-
Zertifikate entziehen. Siehe Zertifikaten entziehen