Zertifikate verwalten

Dieses Thema enthält Informationen zur Verwaltung der Zertifikate Ihres Netzwerks, wie Sie Zertifikate importieren und exportieren, um Ihr Blockchain-Netzwerk einzurichten, und wie Sie Zertifikate verwalten und entziehen.

Typische Workflows zum Verwalten von Zertifikaten

Im Folgenden werden die allgemeinen Aufgaben zur Verwaltung der Zertifikate Ihres Netzwerks aufgeführt.

Organisationen zum Netzwerk hinzufügen

Sie müssen Administrator sein, um diese Aufgaben auszuführen.

Aufgabe	Beschreibung	Weitere Informationen
Zertifikate einer Organisation exportieren oder vorbereiten	Die Organisation, die dem Netzwerk beitreten möchte, gibt entweder die Zertifikatsdatei aus oder schreibt sie und gibt sie an den Gründer weiter.	Zertifikate exportieren Zertifikatsdatei einer Fabric-Organisation erstellen Datei für Drittanbieterzertifikate einer Organisation erstellen
Mitgliedszertifikate importieren	Der Gründer importiert die Zertifikatsdatei der Organisation, um die Organisation zum Netzwerk hinzuzufügen.	Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen
Zertifikate anzeigen	Der Gründer kann die Zertifikate des Netzwerks anzeigen und verwalten.	Zertifikate anzeigen und verwalten

Zertifikate entziehen

Sie müssen Administrator sein, um diese Aufgaben auszuführen.

Aufgabe	Beschreibung	Weitere Informationen
Entscheiden, welche Zertifikate entzogen werden sollen	Zeigen Sie die Zertifikate auf Ihrem System an, um festzustellen, welche Zertifikate entzogen werden müssen, um die Sicherheit des Netzwerks zu gewährleisten.	Zertifikate anzeigen und verwalten
Zu entziehende Zertifikate auswählen	Entziehen Sie die Zertifikate in Ihrer CA.	Zertifikaten entziehen
CRL anwenden	Generiert und wendet eine aktualisierte CRL an, um sicherzustellen, dass Clients mit entzogenen Zertifikaten nicht auf Kanäle zugreifen können.	CRL (Zertifikatsperrliste) anwenden

Zertifikate exportieren

Gründer und Teilnehmerorganisationen müssen JSON-Zertifikatsdateien importieren und exportieren, um das Netzwerk zu erstellen.

Beachten Sie die folgenden Informationen:

• Damit der Gründer dem Blockchain-Netzwerk eine Teilnehmerorganisation hinzufügen kann, muss der Teilnehmer seine Zertifikatsdatei exportieren und dem Gründer zur Verfügung stellen. Der Gründer lädt dann die Zertifikatsdatei hoch, um die Teilnehmerorganisation zum Netzwerk hinzuzufügen.

• Die Zertifikatsexportdatei enthält Admincerts, Cacerts und tlscacerts.

• Möglicherweise müssen Sie Zertifikate für Blockchain- oder Anwendungsentwickler exportieren. Beispiel: Eine Clientanwendung benötigt das TLS-Zertifikat, um mit Peers oder Orderern zu interagieren.

Informationen zum Schreiben von Zertifikatsdateien, die zum Hinzufügen von Hyperledger Fabric- oder Drittanbieterorganisationen zum Netzwerk erforderlich sind, finden Sie unter Netzwerk erweitern.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte "Netzwerk" aus.
2. Gehen Sie auf der Registerkarte "Netzwerk" zur Tabelle "Organisationen", suchen Sie das Mitglied, für das Sie Zertifikate exportieren möchten, und klicken Sie auf die Schaltfläche Weitere Aktionen.
3. Klicken Sie auf Zertifikate exportieren.
   Beachten Sie, dass von der Konsole und den REST-APIs exportierte Dateien nur für den Import mit derselben Komponente kompatibel sind. Das heißt, Sie können die REST-API nicht erfolgreich zum Importieren einer mit der Konsole erstellten Exportdatei verwenden. Ebenso können Sie mit der Konsole keine Exportdatei importieren, die mit der REST-API erstellt wurde.
4. Geben Sie an, wo die Datei gespeichert werden soll. Klicken Sie auf OK, um die Zertifikatsdatei zu speichern.
5. Senden Sie die Zertifikats-JSON-Datei zum Import an den Gründer. Siehe Zertifikate zum Hinzufügen von Organisationen zum Netzwerk importieren.

Zertifikate importieren, um Organisationen zum Netzwerk hinzuzufügen

Um dem Netzwerk eine Organisation hinzuzufügen, muss der Gründer eine Zertifikatsdatei importieren, die von der Organisation exportiert oder vorbereitet wurde, die dem Netzwerk beitreten möchte.

Sie können Bescheinigungen für die folgenden Organisationstypen importieren.

Typ	Beschreibung
Oracle Blockchain Platform-Teilnehmerorganisation	Sie können eine Teilnehmerorganisation in ein Oracle Blockchain Platform-Netzwerk importieren. Sie laden die Zertifikate hoch, die von der Teilnehmerorganisation aus der Konsole exportiert und an Sie gesendet wurden. Informationen zum Erstellen von Zertifikaten für den Upload und eine Liste der anderen Schritte, die Sie ausführen müssen, um eine Teilnehmerorganisation im Netzwerk erfolgreich einzurichten, finden Sie unter Teilnehmern oder skalierten OSNs beim Bestellservice des Gründers beitreten.
Hyperledger Fabric-Organisation	Sie können eine Hyperledger Fabric-Organisation in ein Oracle Blockchain Platform-Netzwerk importieren. Um die Zertifikatsdatei einer Fabric-Organisation erfolgreich hochzuladen, müssen Sie die Zertifikatsdatei so ändern, dass alle Instanzen von \n durch das Zeilenvorschubzeichen ersetzt werden. Siehe Typischer Workflow zum Beitritt einer Fabric-Organisation zu einem Oracle Blockchain Platform-Netzwerk.
Drittzahlungsempfänger-Zertifikatsorganisation	Sie können eine Organisation importieren, die Zertifikate verwendet, die von einem externen CA-Server generiert wurden. Um die Zertifikatsdatei einer Drittorganisation erfolgreich hochzuladen, müssen Sie die Zertifikatsdatei ändern, um alle Instanzen von \n durch das Zeilenvorschubzeichen zu ersetzen. Siehe Typischer Workflow zum Beitritt einer Organisation mit Drittanbieterzertifikaten zu einem Oracle Blockchain Platform-Netzwerk.

Sie müssen Administrator sein, um Zertifikate zu importieren.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Klicken Sie auf der Registerkarte Netzwerk auf Organisationen hinzufügen. Die Seite Organisationen hinzufügen wird angezeigt.
   Beachten Sie, dass von der Konsole und den REST-APIs exportierte Dateien nur für den Import mit derselben Komponente kompatibel sind. Das heißt, Sie können die REST-API nicht erfolgreich zum Importieren einer mit der Konsole erstellten Exportdatei verwenden. Ebenso können Sie mit der Konsole keine Exportdatei importieren, die mit der REST-API erstellt wurde.
3. Klicken Sie auf Organisationszertifikate hochladen. Das Dialogfeld Dateiupload wird angezeigt.
4. Suchen Sie die JSON-Datei mit den Zertifikatsinformationen für die Organisation, die Sie dem Netzwerk hinzufügen möchten, und wählen Sie sie aus. Normalerweise heißt diese Datei certs.json. Klicken Sie auf Öffnen.
5. (Optional) Klicken Sie auf das Plussymbol (+), um die Zertifikatsinformationen einer anderen Organisation zu suchen und hochzuladen.
6. Klicken Sie auf "Hinzufügen". Die hinzugefügten Organisationen werden in der Tabelle Organisation angezeigt.
   Beachten Sie die folgenden Informationen für Oracle Blockchain Platform-Teilnehmer, Hyperledger Fabric und Zertifikatsorganisationen von Drittanbietern. Obwohl der Gründer die Zertifikatsinformationen hochgeladen hat, kann die hinzugefügte Organisation den Bestellservice nicht für die Kommunikation im Netzwerk verwenden, bis er die Bestellserviceeinstellungen des Gründers importiert. Der Gründer muss seine Einstellungen für den Bestellservice exportieren und die resultierende Datei für den Import an die beitretenden Organisationen weitergeben. Weitere Informationen finden Sie unter den folgenden Themen:

   • Informationen zu Teilnehmern der Oracle Blockchain Platform finden Sie unter Teilnehmern oder skalierten OSNs beim Bestellservice des Gründers beitreten.
   • Informationen zu Hyperledger Fabric-Organisationen finden Sie unter Fabric-Umgebung für die Verwendung des Oracle Blockchain Platform Network vorbereiten.
   • Informationen zu Zertifikatsorganisationen von Drittanbietern finden Sie unter Drittanbieterumgebung für die Verwendung des Oracle Blockchain Platform-Netzwerks vorbereiten.

Was ist eine Zertifikatsperrliste?

Mithilfe einer Zertifikatswiderrufliste (Certificate Revocation List, CRL) können Sie die Zertifikate im gesamten Netzwerk verwalten.

Eine CRL (Zertifikatsperrliste) ist eine Liste digitaler Zertifikate, die die ausstellende Zertifizierungsstelle (Certificate Authority, CA) vor ihrem geplanten Ablaufdatum widerrufen hat und nicht mehr vertrauenswürdig und im Netzwerk verwendet werden sollte. Beispiel: Sie sollten Zertifikate widerrufen, die verloren gegangen sind, gestohlen wurden oder kompromittiert wurden.

Nachdem Sie mit der Funktion "Zertifikate verwalten" Zertifikate für Benutzer entzogen haben, erstellt Oracle Blockchain Platform die CRL. Um sicherzustellen, dass die Zertifikate im gesamten Netzwerk widerrufen werden, müssen Sie:

• Verwenden Sie die Funktion "CRL anwenden", nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Die Anwendung der CRL verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe Apply the CRL.

Zertifikate anzeigen und verwalten

Verwenden Sie die Konsole, um die Benutzerzertifikate in Ihrer Instanz und alle Zertifikate anzuzeigen und zu verwalten, die Sie beim Erstellen des Netzwerks importiert haben.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Suchen Sie auf der Registerkarte "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Beachten Sie, dass die Tabelle "Zertifikatsübersicht" leer ist, bis Sie Ihrer Instanz Benutzer hinzufügen. Außerdem wird das Zertifikat des Administrators nicht in dieser Tabelle angezeigt. Dadurch wird verhindert, dass Sie versehentlich das Zertifikat des Administrators widerrufen.
   Organisationen mit Zertifikaten von Drittanbietern oder Hyperledger Fabric-Organisationen mit entzogenen Zertifikaten werden in dieser Tabelle nicht angezeigt. In solchen Fällen müssen Sie die native Hyperledger Fabric-CLI oder das SDK verwenden, um die Zertifikatswiderruflisten-(CRL-)Datei der Organisation zu importieren.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt und zeigt eine Liste der Zertifikate in Ihrer Instanz an.
3. Führen Sie nach Bedarf eine der folgenden Aufgaben aus:
   • Zertifikate entziehen. Siehe Zertifikaten entziehen.
   • Wenn Sie Zertifikate widerrufen haben und in einem Netzwerk mit mehreren Mitgliedern arbeiten, verwenden Sie Apply CRL, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Die Anwendung der CRL verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe Apply the CRL.

Zertifikaten entziehen

Eine Organisation kann Zertifikate für jeden ihrer Benutzer entziehen. Um sicherzustellen, dass das Netzwerk sicher bleibt, sollten Sie Zertifikate widerrufen, falls sie verloren gehen, gestohlen oder kompromittiert werden.

Sie müssen Administrator sein, um diese Aufgabe auszuführen.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Suchen Sie auf der Registerkarte "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt.
3. Suchen Sie im Dialogfeld "Zertifikatsübersicht" die IDs der Benutzer, für die Sie Zertifikate entziehen möchten, und wählen Sie sie aus.
4. Klicken Sie auf "Entziehen", und bestätigen Sie, dass Sie Zertifikate für die ausgewählten Benutzer dauerhaft entziehen möchten.
   Die Benutzer mit widerrufenem Zertifikat werden in der Tabelle angezeigt und der CRL hinzugefügt.
5. Wenn Sie in einem Netzwerk mit anderen Mitgliedern arbeiten, müssen Sie die folgenden Schritte ausführen, um sicherzustellen, dass ihre widerrufenen Zertifikate im Netzwerk bereinigt werden:
   • Wenn Sie in einem Netzwerk mit mehreren Mitgliedern arbeiten, wenden Sie die CRL an, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Die Anwendung der CRL verhindert, dass Clients mit entzogenen Zertifikaten auf den Kanal zugreifen. Siehe Apply the CRL.

CRL (Zertifikatsperrliste) anwenden

Wenn Sie in einem Netzwerk arbeiten, müssen Sie die CRL anwenden, nachdem Sie Peers mit einem Kanal verbunden haben, der von einem anderen Netzwerkmitglied erstellt wurde. Die Anwendung der CRL verhindert, dass Mitglieder mit entzogenen Zertifikaten auf den Kanal zugreifen.

Sie müssen die folgenden Aufgaben ausführen, bevor Sie die CRL anwenden:

• Zertifikate entziehen. Siehe Zertifikaten entziehen

Sie müssen Administrator sein, um diese Aufgabe auszuführen.

1. Gehen Sie zur Konsole, und wählen Sie die Registerkarte Netzwerk aus.
2. Suchen Sie auf der Registerkarte "Netzwerk" die ID Ihrer Organisation, und klicken Sie auf die Schaltfläche Weitere Aktionen. Wählen Sie Clientzertifikate verwalten aus.
   Das Dialogfeld "Zertifikatsübersicht" wird angezeigt.
3. Klicken Sie auf die Schaltfläche "CRL anwenden", und bestätigen Sie, dass Sie die CRL anwenden möchten.