Zertifikate verwalten

Dieses Thema enthält Informationen zum Verwalten der Zertifikate Ihres Netzwerks, einschließlich zum Importieren und Exportieren von Zertifikaten zum Einrichten Ihres Blockchain-Netzwerks sowie zum Verwalten und Entziehen von Zertifikaten.

Typische Workflows zur Verwaltung von Zertifikaten

Im Folgenden werden die allgemeinen Aufgaben zur Verwaltung der Zertifikate Ihres Netzwerks aufgeführt.

Organisationen zum Netzwerk hinzufügen

Sie müssen Administrator sein, um diese Aufgaben ausführen zu können.

Aufgabe	Beschreibung	Weitere Informationen
Exportieren oder Vorbereiten der Zertifikate einer Organisation	Die Organisation, die dem Netzwerk beitreten möchte, gibt entweder ihre Zertifikatsdatei aus oder schreibt sie und übergibt sie dem Gründer.	Bescheinigungen exportieren Drittanbieter-Zertifikatsdatei einer Organisation erstellen
Mitgliedszertifikate importieren	Der Gründer importiert die Zertifikatsdatei der Organisation, um die Organisation zum Netzwerk hinzuzufügen.	Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen
Bescheinigungen anzeigen	Der Gründer kann die Zertifikate des Netzwerks anzeigen und verwalten.	Zertifikate anzeigen und verwalten

Zertifikate entziehen

Sie müssen Administrator sein, um diese Aufgaben ausführen zu können.

Aufgabe	Beschreibung	Weitere Informationen
Entscheiden Sie, welche Zertifikate widerrufen werden sollen	Zeigen Sie die Zertifikate auf Ihrem System an, um zu bestimmen, welche widerrufen werden sollen, um die Sicherheit des Netzwerks zu gewährleisten.	Zertifikate anzeigen und verwalten
Wählen Sie die zu widerrufenden Zertifikate aus	Entziehen Sie die Zertifikate in Ihrer CA.	Zertifikate entziehen
CRL anwenden	Generiert und wendet eine aktualisierte CRL an, um sicherzustellen, dass Clients mit entzogenen Zertifikaten nicht auf Kanäle zugreifen können.	CRL anwenden

Bescheinigungen exportieren

Gründer und Teilnehmerorganisationen müssen Zertifikats-JSON-Dateien importieren und exportieren, um das Netzwerk zu erstellen.

Beachten Sie die folgenden Informationen:

• Damit der Gründer dem Blockchain-Netzwerk eine Teilnehmerorganisation hinzufügen kann, muss der Teilnehmer seine Zertifikatsdatei exportieren und dem Gründer zur Verfügung stellen. Der Gründer lädt dann die Zertifikatsdatei hoch, um die Teilnehmerorganisation zum Netzwerk hinzuzufügen.

• Die Zertifikatsexportdatei enthält Admincerts, Cacerts und tlscacerts.

• Möglicherweise müssen Sie Zertifikate für Blockchain- oder Anwendungsentwickler exportieren. Beispiel: Eine Clientanwendung benötigt das TLS-Zertifikat, um mit Peers oder Orderern zu interagieren.

Informationen zum Schreiben von Zertifikatsdateien, die zum Hinzufügen von Hyperledger Fabric- oder externen Organisationen zum Netzwerk erforderlich sind, finden Sie unter Netzwerk erweitern.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte "Network" (Netzwerk).
2. Gehen Sie auf der Registerkarte "Netzwerk" zur Tabelle "Organisationen", suchen Sie das Element, für das Sie Zertifikate exportieren möchten, und klicken Sie auf die Schaltfläche Weitere Aktionen.
3. Klicken Sie auf Zertifikate exportieren.
   Beachten Sie, dass von der Konsole exportierte Dateien und REST-APIs nur für den Import mit derselben Komponente kompatibel sind. Sie können die REST-API nicht erfolgreich verwenden, um eine Exportdatei zu importieren, die mit der Konsole erstellt wurde. Ebenso können Sie mit der Konsole keine Exportdatei importieren, die mit der REST-API erstellt wurde.
4. Geben Sie an, wo die Datei gespeichert werden soll Klicken Sie auf OK, um die Zertifikatsdatei zu speichern.
5. Senden Sie die Zertifikats-JSON-Datei zum Import an den Gründer. Siehe Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen.

Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen

Um eine Organisation zum Netzwerk hinzuzufügen, muss der Gründer eine Zertifikatsdatei importieren, die von der Organisation exportiert oder vorbereitet wurde, die dem Netzwerk beitreten möchte.

Sie können Zertifikate für die folgenden Organisationstypen importieren.

Typ

Beschreibung

Oracle Blockchain Platform-Teilnehmerorganisation

Sie können eine Teilnehmerorganisation in ein Oracle Blockchain Platform-Netzwerk importieren. Sie laden die Zertifikate hoch, die von der Teilnehmerorganisation aus der Konsole exportiert und an Sie gesendet wurden. Informationen zum Erstellen von Zertifikaten zum Hochladen und eine Liste der anderen Schritte, die Sie ausführen müssen, um eine Teilnehmerorganisation im Netzwerk erfolgreich einzurichten, finden Sie unter Teilnehmer- oder skalierte OSNs mit dem Bestellservice des Gründers verbinden.

Sie müssen Administrator sein, um Zertifikate zu importieren.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Klicken Sie auf der Registerkarte Netzwerk auf Organisationen hinzufügen. Die Seite Organisationen hinzufügen wird angezeigt.
   Beachten Sie, dass von der Konsole exportierte Dateien und REST-APIs nur für den Import mit derselben Komponente kompatibel sind. Sie können die REST-API nicht erfolgreich verwenden, um eine Exportdatei zu importieren, die mit der Konsole erstellt wurde. Ebenso können Sie mit der Konsole keine Exportdatei importieren, die mit der REST-API erstellt wurde.
3. Klicken Sie auf Organisationszertifikate hochladen. Das Dialogfeld Dateiupload wird angezeigt.
4. Suchen Sie die JSON-Datei mit den Zertifikatsinformationen für die Organisation, die Sie dem Netzwerk hinzufügen möchten, und wählen Sie sie aus. Normalerweise heißt diese Datei certs.json. Klicken Sie auf Öffnen.
5. (Optional) Klicken Sie auf das Plussymbol (+), um die Zertifikatinformationen einer anderen Organisation zu suchen und hochzuladen.
6. Klicken Sie auf "Hinzufügen". Die hinzugefügten Organisationen werden in der Tabelle Organisation angezeigt.
   Beachten Sie die folgenden Informationen für Oracle Blockchain Platform-Teilnehmer und Hyperledger Fabric-Organisationen. Obwohl der Gründer die Zertifikatsinformationen hochgeladen hat, kann die hinzugefügte Organisation den Bestellservice nicht für die Kommunikation im Netzwerk verwenden, bis er die Bestellserviceeinstellungen des Gründers importiert. Der Gründer muss seine Bestellserviceeinstellungen exportieren und die resultierende Datei an die beitretenden Organisationen für den Import übergeben. Weitere Informationen finden Sie unter den folgenden Themen:

   • Informationen zu Oracle Blockchain Platform-Teilnehmern finden Sie unter Teilnehmer- oder skalierte OSNs mit dem Ordering-Service des Gründers verbinden.

Was ist eine Zertifikatswiderrufliste?

Mit einer Zertifikatsperrliste (Certificate Revocation List, CRL) können Sie die Zertifikate im gesamten Netzwerk verwalten.

Eine CRL ist eine Liste digitaler Zertifikate, die von der ausstellenden Certificate Authority (CA) vor ihrem geplanten Ablaufdatum widerrufen wurden und nicht mehr vertrauenswürdig sind und im Netzwerk verwendet werden dürfen. Beispiel: Sie verwenden eine CRL (Zertifikatsperrliste), um Zertifikate zu widerrufen, die verloren gegangen, gestohlen oder kompromittiert wurden.

Nachdem Sie mit der Funktion "Zertifikate verwalten" Zertifikate für Benutzer entzogen haben, erstellt Oracle Blockchain Platform die CRL. Um sicherzustellen, dass die Zertifikate im gesamten Netzwerk widerrufen werden, müssen Sie die folgende Aufgabe ausführen:

• Wenden Sie die CRL an, nachdem Sie Peers zu einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Durch das Anwenden einer CRL wird verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen können. Siehe CRL anwenden.

Zertifikate anzeigen und verwalten

Mit der Konsole können Sie die Benutzerzertifikate in Ihrer Instanz und eines der Zertifikate anzeigen und verwalten, die Sie beim Erstellen des Netzwerks importiert haben.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Suchen Sie auf der Registerkarte "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Beachten Sie, dass die Tabelle "Zertifikatsübersicht" leer ist, bis Sie Benutzer zu Ihrer Instanz hinzufügen. Außerdem wird das Zertifikat des Administrators nicht in dieser Tabelle angezeigt. Dadurch wird verhindert, dass Sie versehentlich das Zertifikat des Administrators widerrufen.
   Organisationen mit Zertifikaten von Drittanbietern mit entzogenen Zertifikaten werden in dieser Tabelle nicht angezeigt. In solchen Fällen müssen Sie die native Hyperledger Fabric-CLI oder das SDK verwenden, um die Zertifikatsperrlistendatei (CRL) der Organisation zu importieren.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt und zeigt eine Liste der Zertifikate in Ihrer Instanz an.
3. Nehmen Sie bei Bedarf eine der folgenden Aufgaben vor:
   • Entziehen Sie Zertifikate. Siehe Zertifikate widerrufen.
   • Wenn Sie Zertifikate widerrufen haben und in einem Netzwerk mit mehreren Mitgliedern arbeiten, verwenden Sie "CRL anwenden", nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Apply CRL verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe CRL anwenden.

Zertifikate entziehen

Eine Organisation kann jedem ihrer Benutzer Zertifikate entziehen. Um sicherzustellen, dass das Netzwerk sicher bleibt, widerrufen Sie Zertifikate, wenn sie verloren gehen, gestohlen oder gefährdet werden.

Sie müssen Administrator sein, um diese Aufgabe abzuschließen.

1. Gehen Sie zur Konsole, und klicken Sie auf die Registerkarte Netzwerk.
2. Suchen Sie auf der Seite "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt.
3. Suchen Sie im Dialogfeld Zertifikatsübersicht die IDs der Benutzer, für die Sie Zertifikate entziehen möchten, und wählen Sie sie aus.
4. Klicken Sie auf Entziehen, und bestätigen Sie, dass Sie Zertifikate für die ausgewählten Benutzer dauerhaft entziehen möchten.
   Die Benutzer mit widerrufenem Zertifikat werden in der Tabelle angezeigt und der CRL hinzugefügt.
5. Wenn Sie in einem Netzwerk mit anderen Mitgliedern arbeiten, müssen Sie die folgenden Schritte ausführen, um sicherzustellen, dass ihre entzogenen Zertifikate im gesamten Netzwerk bereinigt werden:
   • Wenn Sie in einem Netzwerk mit mehreren Mitgliedern arbeiten, wenden Sie die CRL an, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Durch das Anwenden der CRL wird verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe CRL anwenden.

CRL anwenden

Wenn Sie in einem Netzwerk arbeiten, müssen Sie die CRL anwenden, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Apply CRL verhindert, dass Mitglieder mit entzogenen Zertifikaten auf den Kanal zugreifen.

Sie müssen die folgenden Aufgaben ausführen, bevor Sie die CRL anwenden können:

• Entziehen Sie Zertifikate. Siehe Zertifikate widerrufen

Sie müssen Administrator sein, um diese Aufgabe auszuführen.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Suchen Sie auf der Registerkarte "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt.
3. Klicken Sie auf die Schaltfläche "CRL anwenden", und bestätigen Sie, dass Sie die CRL anwenden möchten.