Zertifikate verwalten

Dieses Thema enthält Informationen zur Verwaltung der Zertifikate Ihres Netzwerks, einschließlich zum Importieren und Exportieren von Zertifikaten zur Einrichtung Ihres Blockchain-Netzwerks und zum Verwalten und Entziehen von Zertifikaten.

Typische Workflows zum Verwalten von Zertifikaten

Im Folgenden werden die allgemeinen Aufgaben für die Verwaltung der Netzwerkzertifikate aufgeführt.

Organisationen zum Netzwerk hinzufügen

Sie müssen Administrator sein, um diese Aufgaben auszuführen.

Aufgabe	Beschreibung	Weitere Informationen
Zertifikate einer Organisation exportieren oder vorbereiten	Die Organisation, die dem Netzwerk beitreten möchte, gibt entweder die Zertifikatsdatei aus oder schreibt sie und gibt sie an den Gründer weiter.	Zertifikate exportieren Zertifikatsdatei einer Fabric-Organisation erstellen Drittanbieterzertifikatsdatei einer Organisation erstellen
Mitgliedszertifikate importieren	Der Gründer importiert die Zertifikatsdatei der Organisation, um die Organisation zum Netzwerk hinzuzufügen.	Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen
Zertifikate anzeigen	Der Gründer kann die Zertifikate des Netzwerks anzeigen und verwalten.	Zertifikate anzeigen und verwalten

Zertifikate entziehen

Sie müssen Administrator sein, um diese Aufgaben auszuführen.

Aufgabe	Beschreibung	Weitere Informationen
Entscheiden, welche Zertifikate widerrufen werden sollen	Zeigen Sie die Zertifikate auf Ihrem System an, um zu bestimmen, welche Zertifikate zur Sicherung des Netzwerks widerrufen werden sollen.	Zertifikate anzeigen und verwalten
Zu entziehende Zertifikate auswählen	Entziehen Sie die Zertifikate in Ihrer CA.	Zertifikate entziehen
CRL anwenden	Generiert und wendet eine aktualisierte CRL an, um sicherzustellen, dass Clients mit entzogenen Zertifikaten nicht auf Kanäle zugreifen können.	CRL anwenden

Zertifikate exportieren

Gründer und Teilnehmerorganisationen müssen Zertifikats-JSON-Dateien importieren und exportieren, um das Netzwerk zu erstellen.

Beachten Sie die folgenden Informationen:

• Damit der Gründer dem Blockchain-Netzwerk eine Teilnehmerorganisation hinzufügen kann, muss der Teilnehmer seine Zertifikatsdatei exportieren und dem Gründer zur Verfügung stellen. Der Gründer lädt dann die Zertifikatsdatei hoch, um die Teilnehmerorganisation zum Netzwerk hinzuzufügen.

• Die Zertifikatsexportdatei enthält Admincerts, cacerts und tlscacerts.

• Möglicherweise müssen Sie Zertifikate für Blockchain- oder Anwendungsentwickler exportieren. Beispiel: Eine Clientanwendung benötigt das TLS-Zertifikat, um mit Kollegen oder Bestellern zu interagieren.

Informationen zum Schreiben von Zertifikatsdateien, die zum Hinzufügen von Hyperledger Fabric- oder Drittanbieterorganisationen zum Netzwerk erforderlich sind, finden Sie unter Netzwerk erweitern.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte "Netzwerk".
2. Navigieren Sie auf der Registerkarte "Netzwerk" zur Tabelle "Organisationen", suchen Sie das Element, für das Sie Zertifikate exportieren möchten, und klicken Sie auf die Schaltfläche Weitere Aktionen.
3. Klicken Sie auf Zertifikate exportieren.
   Beachten Sie, dass von der Konsole und den REST-APIs exportierte Dateien nur für den Import mit derselben Komponente kompatibel sind. Das heißt, Sie können die REST-API nicht erfolgreich verwenden, um eine mit der Konsole erstellte Exportdatei zu importieren. Ebenso können Sie eine mit der REST-API erstellte Exportdatei nicht erfolgreich mit der Konsole importieren.
4. Geben Sie an, wo die Datei gespeichert werden soll. Klicken Sie auf OK, um die Zertifikatsdatei zu speichern.
5. Senden Sie die Zertifikats-JSON-Datei zum Import an den Gründer. Siehe Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen.

Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen

Um eine Organisation zum Netzwerk hinzuzufügen, muss der Gründer eine Zertifikatsdatei importieren, die von der Organisation exportiert oder vorbereitet wurde, die dem Netzwerk beitreten möchte.

Sie können Zertifikate für die folgenden Organisationstypen importieren.

Typ	Beschreibung
Teilnehmerorganisation für Oracle Blockchain Platform	Sie können eine Teilnehmerorganisation in ein Oracle Blockchain Platform-Netzwerk importieren. Sie laden die Zertifikate hoch, die von der Teilnehmerorganisation aus der Konsole exportiert und an Sie gesendet wurden. Informationen zum Erstellen von Zertifikaten zum Hochladen und eine Liste der anderen Schritte, die Sie ausführen müssen, um eine Teilnehmerorganisation im Netzwerk erfolgreich einzurichten, finden Sie unter Teilnehmer- oder skalierte OSNs mit dem Bestellservice des Gründers verbinden.
Hyperledger Fabric-Organisation	Sie können eine Hyperledger Fabric-Organisation in ein Oracle Blockchain Platform-Netzwerk importieren. Um die Zertifikatsdatei einer Fabric-Organisation erfolgreich hochzuladen, müssen Sie die Zertifikatsdatei ändern, um alle Instanzen von \n durch das Zeilenvorschubzeichen zu ersetzen. Siehe Typischer Workflow zum Verbinden einer Fabric-Organisation mit einem Oracle Blockchain Platform-Netzwerk.
Drittanbieter-Zertifikatsorganisation	Sie können eine Organisation importieren, die Zertifikate verwendet, die von einem CA-Server eines Drittanbieters generiert wurden. Um die Zertifikatsdatei einer Drittorganisation erfolgreich hochzuladen, müssen Sie die Zertifikatsdatei ändern, um alle Instanzen von \n durch das Zeilenvorschubzeichen zu ersetzen. Siehe Typischer Workflow zum Verbinden einer Organisation mit Zertifikaten von Drittanbietern mit einem Oracle Blockchain Platform-Netzwerk.

Sie müssen Administrator sein, um Zertifikate zu importieren.

1. Navigieren Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Klicken Sie auf der Registerkarte Netzwerk auf Organisationen hinzufügen. Die Seite Organisationen hinzufügen wird angezeigt.
   Beachten Sie, dass von der Konsole und den REST-APIs exportierte Dateien nur für den Import mit derselben Komponente kompatibel sind. Das heißt, Sie können die REST-API nicht erfolgreich verwenden, um eine mit der Konsole erstellte Exportdatei zu importieren. Ebenso können Sie eine mit der REST-API erstellte Exportdatei nicht erfolgreich mit der Konsole importieren.
3. Klicken Sie auf Organisationszertifikate hochladen. Das Dialogfeld Dateiupload wird angezeigt.
4. Suchen Sie die JSON-Datei mit den Zertifikatsinformationen für die Organisation, die Sie dem Netzwerk hinzufügen möchten, und wählen Sie sie aus. Normalerweise hat diese Datei den Namen certs.json. Klicken Sie auf Öffnen.
5. (Optional) Klicken Sie auf das Plussymbol (+), um die Zertifikatsinformationen einer anderen Organisation zu suchen und hochzuladen.
6. Klicken Sie auf "Hinzufügen". Die Organisationen, die Sie hinzugefügt haben, werden in der Tabelle Organisation angezeigt.
   Beachten Sie die folgenden Informationen für Oracle Blockchain Platform-Teilnehmer, Hyperledger Fabric und Drittanbieterzertifikatsorganisationen. Obwohl der Gründer die Zertifikatsinformationen hochgeladen hat, kann die hinzugefügte Organisation den Bestellservice erst dann für die Kommunikation im Netzwerk verwenden, wenn sie die Bestellserviceeinstellungen des Gründers importiert. Der Gründer muss seine Ordering-Service-Einstellungen exportieren und die resultierende Datei den beitretenden Organisationen zum Import zur Verfügung stellen. Weitere Informationen finden Sie unter den folgenden Themen:

   • Informationen zu Oracle Blockchain Platform-Teilnehmern finden Sie unter Teilnehmer- oder skalierte OSNs mit dem Ordering-Service des Gründers verbinden.
   • Informationen zu Hyperledger Fabric-Organisationen finden Sie unter Fabric-Umgebung zur Verwendung des Oracle Blockchain Platform-Netzwerks vorbereiten.
   • Informationen zu Zertifikatsorganisationen von Drittanbietern finden Sie unter Umgebung von Drittanbietern für die Verwendung des Oracle Blockchain Platform-Netzwerks vorbereiten.

Was ist eine Zertifikatsperrliste?

Mit einer Zertifikatsperrliste (Certificate Revocation List, CRL) können Sie die Zertifikate im gesamten Netzwerk verwalten.

Eine CRL ist eine Liste digitaler Zertifikate, die von der ausstellenden Certificate Authority (CA) vor ihrem geplanten Ablaufdatum widerrufen wurden und nicht mehr vertrauenswürdig sind und im Netzwerk verwendet werden dürfen. Beispiel: Sie verwenden eine CRL (Zertifikatsperrliste), um Zertifikate zu widerrufen, die verloren gegangen, gestohlen oder kompromittiert wurden.

Nachdem Sie mit der Funktion "Zertifikate verwalten" Zertifikate für Benutzer entzogen haben, erstellt Oracle Blockchain Platform die CRL. Um sicherzustellen, dass die Zertifikate im gesamten Netzwerk widerrufen werden, müssen Sie die folgende Aufgabe ausführen:

• Wenden Sie die CRL an, nachdem Sie Peers zu einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Durch das Anwenden einer CRL wird verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen können. Siehe CRL anwenden.

Zertifikate anzeigen und verwalten

Verwenden Sie die Konsole, um die Benutzerzertifikate in Ihrer Instanz und eines der Zertifikate anzuzeigen und zu verwalten, die Sie beim Erstellen des Netzwerks importiert haben.

1. Navigieren Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Suchen Sie auf der Registerkarte "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Beachten Sie, dass die Tabelle "Zertifikatsübersicht" leer ist, bis Sie Ihrer Instanz Benutzer hinzufügen. Außerdem wird das Zertifikat des Administrators in dieser Tabelle nicht angezeigt. Dadurch wird verhindert, dass Sie das Zertifikat des Administrators versehentlich widerrufen.
   Organisationen mit Drittanbieterzertifikaten oder Hyperledger Fabric-Organisation mit widerrufenen Zertifikaten werden in dieser Tabelle nicht angezeigt. In solchen Fällen müssen Sie die native Hyperledger Fabric-CLI oder das SDK verwenden, um die Zertifikatswiderruflistendatei (CRL) der Organisation zu importieren.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt und zeigt eine Liste der Zertifikate in Ihrer Instanz an.
3. Führen Sie bei Bedarf eine der folgenden Aufgaben aus:
   • Entziehen Sie Zertifikate. Siehe Zertifikate widerrufen.
   • Wenn Sie Zertifikate widerrufen haben und in einem Netzwerk mit mehreren Mitgliedern arbeiten, verwenden Sie die Option CRL anwenden, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Apply CRL verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe Apply the CRL.

Zertifikate entziehen

Eine Organisation kann jedem ihrer Benutzer Zertifikate entziehen. Um sicherzustellen, dass das Netzwerk sicher bleibt, widerrufen Sie Zertifikate, wenn sie verloren gehen, gestohlen oder gefährdet werden.

Sie müssen Administrator sein, um diese Aufgabe abzuschließen.

1. Gehen Sie zur Konsole, und klicken Sie auf die Registerkarte Netzwerk.
2. Suchen Sie auf der Seite "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt.
3. Suchen Sie im Dialogfeld Zertifikatsübersicht die IDs der Benutzer, für die Sie Zertifikate entziehen möchten, und wählen Sie sie aus.
4. Klicken Sie auf Entziehen, und bestätigen Sie, dass Sie Zertifikate für die ausgewählten Benutzer dauerhaft entziehen möchten.
   Die Benutzer mit entzogenem Zertifikat werden in der Tabelle angezeigt und der CRL hinzugefügt.
5. Wenn Sie in einem Netzwerk mit anderen Mitgliedern arbeiten, müssen Sie Folgendes tun, um sicherzustellen, dass die entzogenen Zertifikate im Netzwerk bereinigt werden:
   • Wenn Sie in einem Netzwerk mit mehreren Mitgliedern arbeiten, wenden Sie die CRL an, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Durch das Anwenden der CRL wird verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe CRL anwenden.

CRL anwenden

Wenn Sie in einem Netzwerk arbeiten, müssen Sie die CRL anwenden, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Apply CRL verhindert, dass Mitglieder mit entzogenen Zertifikaten auf den Kanal zugreifen.

Sie müssen die folgenden Aufgaben ausführen, bevor Sie die CRL anwenden:

• Entziehen Sie Zertifikate. Siehe Zertifikate widerrufen

Sie müssen Administrator sein, um diese Aufgabe auszuführen.

1. Navigieren Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Suchen Sie auf der Registerkarte "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt.
3. Klicken Sie auf die Schaltfläche "CRL anwenden", und bestätigen Sie, dass Sie die CRL anwenden möchten.