Gestión de certificados

En este tema, se incluye información sobre cómo gestionar los certificados de la red, incluida la importación y exportación de certificados para configurar la red de cadena de bloques, y cómo gestionar y revocar certificados.

Flujos de trabajo típicos para gestionar certificados

A continuación, se muestran las tareas comunes para gestionar los certificados de red.

Adición de organizaciones a la red

Debe ser administrador para realizar estas tareas.

Tarea Descripción Más información
Exportar o preparar certificados de una organización La organización que desea unirse a la red emite o escribe su archivo de certificados y se lo entrega al fundador.

Exportar certificados

Creación de un archivo de certificados de Fabric Organization

Creación del archivo de certificados de terceros de una organización

Importar Certificados de Miembro El fundador importa el archivo de certificados de la organización para agregar la organización a la red. Importación de certificados para agregar organizaciones a la red
Ver Certificados El fundador puede ver y gestionar los certificados de la red. Ver y gestionar certificados

Revocación de Certificados

Debe ser administrador para realizar estas tareas.

Tarea Descripción Más información
Decidir qué certificados revocar Visualice los certificados del sistema para determinar cuáles se deben revocar para mantener la red segura. Ver y gestionar certificados
Seleccione los certificados que desea revocar Revoca los certificados en tu CA. Revocar Certificados
Aplicar CRL Genera y aplica una CRL actualizada para garantizar que los clientes con certificados revocados no puedan acceder a los canales. Aplicar la CRL

Exportar certificados

Los fundadores y las organizaciones participantes deben importar y exportar archivos JSON de certificado para crear la red.

Tenga en cuenta la siguiente información:
  • Para que el fundador agregue una organización participante a la red blockchain, el participante debe exportar su archivo de certificados y ponerlo a disposición del fundador. A continuación, el fundador carga el archivo de certificados para agregar la organización participante a la red.

  • El archivo de exportación de certificados contiene administradores, cacerts y tlscacerts.

  • Es posible que deba exportar certificados para desarrolladores de blockchain o aplicaciones. Por ejemplo, una aplicación cliente necesita el certificado TLS para interactuar con iguales o solicitantes.

Para obtener información sobre la escritura de archivos de certificado necesarios para agregar organizaciones de Hyperledger Fabric o de terceros a la red, consulte Extend the Network.

  1. Vaya a la consola y seleccione la ficha Network (Red).
  2. En el separador Red, vaya a la tabla Organizaciones, busque el miembro para el que desea exportar certificados y haga clic en el botón Más acciones.
  3. Haga clic en Exportar certificados.
    Tenga en cuenta que los archivos exportados por la consola y las API de REST solo son compatibles para la importación con el mismo componente. Es decir, no puede utilizar correctamente la API de REST para importar un archivo de exportación creado con la consola. Del mismo modo, no puede utilizar correctamente la consola para importar un archivo de exportación creado con la API de REST.
  4. Especifique dónde desea guardar el archivo. Haga clic en Aceptar para guardar el archivo de certificados.
  5. Envíe el archivo JSON de certificados al fundador para su importación. Consulte Importación de certificados para agregar organizaciones a la red.

Importación de certificados para agregar organizaciones a la red

Para agregar una organización a la red, el fundador debe importar un archivo de certificados que haya sido exportado o preparado por la organización que desea unirse a la red.

Puede importar certificados para los siguientes tipos de organización.
Tipo Descripción
Organización de participantes de Oracle Blockchain Platform Puede importar una organización de participante a una red de Oracle Blockchain Platform. Cargue los certificados que la organización participante exportó desde la consola y le envió.

Para obtener información sobre la creación de certificados para la carga y una lista de los otros pasos que debe realizar para configurar correctamente una organización participante en la red, consulte Unirse a los OSN participantes o escalados al servicio de pedidos del fundador.

Organización de Hyperledger Fabric Puede importar una organización de Hyperledger Fabric en una red de Oracle Blockchain Platform. Para cargar correctamente un archivo de certificados de una organización de Fabric, debe modificar el archivo de certificados para reemplazar todas las instancias de \n por el carácter de nueva línea.

Consulte Typical Workflow to Join a Fabric Organization to an Oracle Blockchain Platform Network.

Organización de certificado de terceros Puede importar una organización que utiliza certificados generados desde un servidor de CA de terceros. Para cargar correctamente un archivo de certificados de una organización de terceros, debe modificar el archivo de certificados para reemplazar todas las instancias de \n por el carácter de nueva línea.

Consulte Typical Workflow to Join an Organization With Third-Party Certificates to an Oracle Blockchain Platform Network.

Debe ser un administrador para importar certificados.
  1. Vaya a la consola y seleccione el separador Network.
  2. En el separador Red, haga clic en Agregar organizaciones. Se mostrará la página Agregar organizaciones.
    Tenga en cuenta que los archivos exportados por la consola y las API de REST solo son compatibles para la importación con el mismo componente. Es decir, no puede utilizar correctamente la API de REST para importar un archivo de exportación creado con la consola. Del mismo modo, no puede utilizar correctamente la consola para importar un archivo de exportación creado con la API de REST.
  3. Haga clic en Cargar certificados de organización. Se muestra el diálogo de carga de archivos.
  4. Busque y seleccione el archivo JSON que contiene la información del certificado para la organización que desea agregar a la red. Normalmente, este archivo se denomina certs.json. Haga clic en Abrir.
  5. (Opcional) Haga clic en el icono más (+) para localizar y cargar la información de certificado de otra organización.
  6. Haga clic en Agregar. Las organizaciones que ha agregado se muestran en la tabla Organización.
    Tenga en cuenta la siguiente información para el participante de Oracle Blockchain Platform, Hyperledger Fabric y organizaciones de certificados de terceros. Aunque el fundador cargó la información del certificado, la organización agregada no puede usar el servicio de orden para comunicarse en la red hasta que importe la configuración del servicio de orden del fundador. El fundador debe exportar su configuración de servicio de pedido y entregar el archivo resultante a las organizaciones que se unen para su importación. Consulte cualquiera de la siguiente información:

Definición de Lista de Revocaciones de Certificados

Utilice una lista de revocación de certificados (CRL) para ayudar a gestionar los certificados en toda la red.

Una CRL es una lista de certificados digitales que la autoridad de certificación (CA) emisora ha revocado antes de su fecha de caducidad programada y que ya no deben ser de confianza y utilizarse en la red. Por ejemplo, debe revocar cualquier certificado que se haya perdido, robado o comprometido.

Después de utilizar la funcionalidad Gestionar certificados para revocar certificados para usuarios, Oracle Blockchain Platform crea la CRL. Para asegurarse de que los certificados se revocan en toda la red, deberá:

  • Utilice la funcionalidad Aplicar CRL después de unir peers a un canal creado por otro miembro de la red. La aplicación de CRL impide que los clientes con certificados revocados accedan al canal. Consulte Apply the CRL.

Ver y gestionar certificados

Utilice la consola para ver y gestionar los certificados de usuario en la instancia y cualquiera de los certificados que ha importado al crear la red.

  1. Vaya a la consola y seleccione el separador Red.
  2. En el separador Red, busque el ID de la organización y haga clic en el botón Más acciones. Seleccione Gestionar certificados de cliente.
    Tenga en cuenta que la tabla Certificate Summary estará vacía hasta que agregue usuarios a la instancia. Además, el certificado del administrador no se muestra en esta tabla. Esto es para evitar que se revoca accidentalmente el certificado del administrador.
    Las organizaciones con certificados de terceros o la organización de Hyperledger Fabric con certificados revocados no se mostrarán en esta tabla. En estos casos, debe utilizar la CLI o el SDK nativos de Hyperledger Fabric para importar el archivo de lista de revocación de certificados (CRL) de la organización.
    Aparece el cuadro de diálogo Certificates Summary (Resumen de certificados) y muestra una lista de los certificados de la instancia.
  3. Según sea necesario, realice cualquiera de las siguientes tareas:
    • Revocar certificados. Consulte Revocar Certificados.
    • Si ha revocado certificados y está trabajando en una red con varios miembros, utilice Aplicar CRL después de unir los peers a un canal creado por otro miembro de la red. La aplicación de CRL impide que los clientes con certificados revocados accedan al canal. Consulte Apply the CRL.

Revocar Certificados

Una organización puede revocar certificados para cualquiera de sus usuarios. Para garantizar que la red permanezca segura, debe revocar los certificados en caso de que se pierdan, roben o se vean comprometidos.

Debe ser administrador para realizar esta tarea.
  1. Vaya a la consola y seleccione el separador Red.
  2. En el separador Red, busque el ID de la organización y haga clic en el botón Más acciones. Seleccione Gestionar certificados de cliente.
    Aparece el cuadro de diálogo Certificates Summary (Resumen de certificados).
  3. En el cuadro de diálogo Resumen de certificados, busque y seleccione los ID de los usuarios para los que desea revocar certificados.
  4. Haga clic en Revoke y confirme que desea revocar de forma permanente los certificados de los usuarios seleccionados.
    Los usuarios con certificado revocado se muestran en la tabla y se agregan a la CRL.
  5. Si está trabajando en una red con otros miembros, para asegurarse de que sus certificados revocados se limpien en toda la red, debe hacer lo siguiente:
    • Si está trabajando en una red con varios miembros, aplique la CRL después de unir los peers a un canal creado por otro miembro de la red. La aplicación de CRL impide que los clientes con certificados revocados accedan al canal. Consulte Apply the CRL.

Aplicar la CRL

Si está trabajando en una red, debe aplicar la CRL después de unir los peers a un canal creado por otro miembro de la red. La aplicación de CRL impide que los miembros con certificados revocados accedan al canal.

Debe realizar las siguientes tareas antes de aplicar la CRL:
Debe ser administrador para realizar esta tarea.
  1. Vaya a la consola y seleccione el separador Red.
  2. En el separador Red, busque el ID de la organización y haga clic en el botón Más acciones. Seleccione Gestionar certificados de cliente.
    Aparece el cuadro de diálogo Certificates Summary (Resumen de certificados).
  3. Haga clic en el botón Apply CRL y confirme que desea aplicar la CRL.