1. Utilisation d'Oracle Blockchain Platform
  2. Gérer l'organisation et le réseau
  3. Gérer les certificats

Gérer les certificats

Cette rubrique contient des informations sur la gestion des certificats de votre réseau, notamment sur l'importation et l'exportation de certificats pour configurer votre réseau de chaîne de blocs, ainsi que sur la gestion et la révocation de certificats.

Flux de travail types pour gérer les certificats

Voici les tâches courantes de gestion des certificats de votre réseau.

Ajout d'organisations au réseau

Vous devez être un administrateur pour effectuer ces tâches.

Tâche Description Informations supplémentaires
Exporter ou préparer les certificats d'une organisation L'organisation qui veut rejoindre le réseau sort ou écrit son fichier de certificats et le donne au fondateur.

Exporter les certificats

Créer un fichier de certificats d'organisation Fabric

Créer le fichier de certificats de tierce partie d'une organisation
Importer des certificats de membre Le fondateur importe le fichier de certificats de l'organisation pour l'ajouter au réseau. Importer des certificats pour ajouter des organisations au réseau
Afficher les certificats Le fondateur peut visualiser et gérer les certificats du réseau. Voir et gérer les certificats

Révocation de certificats

Vous devez être un administrateur pour effectuer ces tâches.

Tâche Description Informations supplémentaires
Déterminer les certificats à révoquer Affichez les certificats de votre système pour déterminer ceux à révoquer afin de sécuriser le réseau. Voir et gérer les certificats
Sélectionner les certificats à révoquer Révoquez les certificats dans votre autorité de certification. Révoquer les certificats
Appliquer la liste des certificats révoqués Génère et applique une liste de révocation de certificats mise à jour pour s'assurer que les clients ayant des certificats révoqués ne peuvent pas accéder aux canaux. Appliquer la liste des certificats révoqués

Exporter les certificats

Les fondateurs et les organisations participantes doivent importer et exporter des fichiers JSON de certificat pour créer le réseau.

Notez les informations suivantes :

  • Pour que le fondateur ajoute une organisation participante au réseau blockchain, le participant doit exporter son fichier de certificats et le mettre à la disposition du fondateur. Le fondateur charge ensuite le fichier de certificats pour ajouter l'organisation participante au réseau.

  • Le fichier d'exportation de certificat contient les administrateurs, les cacerts et les tlscacerts.

  • Vous devrez peut-être exporter des certificats pour les développeurs de chaînes de blocs ou d'applications. Par exemple, une application client a besoin du certificat TLS pour interagir avec des pairs ou des responsables des commandes.

Pour plus d'informations sur l'écriture des fichiers de certificat requis pour ajouter des organisations Hyperledger Fabric ou tierces au réseau, voir Étendre le réseau.

  1. Allez à la console et sélectionnez l'onglet Réseau.
  2. Dans l'onglet Réseau, allez à la table Organisations, localisez le membre pour lequel vous voulez exporter des certificats et cliquez sur le bouton Actions supplémentaires.
  3. Cliquez sur Exporter des certificats.
    Notez que les fichiers exportés par la console et les API REST ne sont compatibles que pour l'importation avec le même composant. Vous ne pouvez donc pas utiliser l'API REST pour importer un fichier d'exportation créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'exportation créé avec l'API REST.
  4. Spécifiez où enregistrer le fichier. Cliquez sur OK pour enregistrer le fichier de certificats.
  5. Envoyez le fichier JSON des certificats au fondateur pour l'importation. Voir Importer des certificats pour ajouter des organisations au réseau.

Importer des certificats pour ajouter des organisations au réseau

Pour ajouter une organisation au réseau, le fondateur doit importer un fichier de certificats qui a été exporté ou préparé par l'organisation qui souhaite rejoindre le réseau.

Vous pouvez importer des certificats pour les types d'organisation suivants.
Type Description
Organisation participante pour Oracle Blockchain Platform Vous pouvez importer une organisation participante dans un réseau Oracle Blockchain Platform. Vous chargez les certificats que l'organisation participante a exportés à partir de la console et vous a envoyés.

Pour plus d'informations sur la création de certificats pour le chargement et pour obtenir la liste des autres étapes que vous devez effectuer pour configurer avec succès une organisation participante sur le réseau, voir Se joindre aux OSN participants ou évolutifs au service de commande du fondateur.

Organisation Hyperledger Fabric Vous pouvez importer une organisation Hyperledger Fabric dans un réseau Oracle Blockchain Platform. Pour charger le fichier de certificats d'une organisation Fabric, vous devez modifier le fichier de certificats afin de remplacer toutes les instances de \n par le caractère de nouvelle ligne.

Voir Flux de travail type pour joindre une organisation Fabric à un réseau Oracle Blockchain Platform.

Organisation de certificat tierce Vous pouvez importer une organisation qui utilise des certificats générés à partir d'un serveur AC tiers. Pour charger le fichier de certificats d'une organisation tierce, vous devez modifier le fichier de certificats afin de remplacer toutes les instances de \n par le caractère de nouvelle ligne.

Voir Flux de travail type pour joindre une organisation avec des certificats de tierce partie à un réseau Oracle Blockchain Platform.

Vous devez être un administrateur pour importer des certificats.
  1. Allez à la console et sélectionnez l'onglet Réseau.
  2. Dans l'onglet Réseau, cliquez sur Ajouter des organisations. La page Ajouter des organisations est affichée.
    Notez que les fichiers exportés par la console et les API REST ne sont compatibles que pour l'importation avec le même composant. Vous ne pouvez donc pas utiliser l'API REST pour importer un fichier d'exportation créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'exportation créé avec l'API REST.
  3. Cliquez sur Charger les certificats d'organisation. La boîte de dialogue Chargement de fichier s'affiche.
  4. Parcourez et sélectionnez le fichier JSON contenant les informations de certificat de l'organisation à ajouter au réseau. Habituellement, ce fichier est nommé certs.json. Cliquez sur Open (Ouvrir).
  5. (Facultatif) Cliquez sur l'icône Plus (+) pour localiser et charger les informations sur le certificat d'une autre organisation.
  6. Cliquez sur Add (Ajouter). Les organisations que vous avez ajoutées sont affichées dans le tableau Organisation.
    Notez les informations suivantes pour les organisations de certificat de Oracle Blockchain Platform, Hyperledger Fabric et de tierce partie. Même si le fondateur a téléchargé les informations de certificat, l'organisation ajoutée ne peut pas utiliser le service de commande pour communiquer sur le réseau tant qu'elle n'a pas importé les paramètres du service de commande du fondateur. Le fondateur doit exporter ses paramètres de service de commande et remettre le fichier résultant aux organisations adhérentes pour importation. Voir l'une des options suivantes :

Qu'est-ce qu'une liste de révocation de certificats?

Vous utilisez une liste de révocation de certificats (CRL) pour faciliter la gestion des certificats dans l'ensemble de votre réseau.

Une liste de certificats révoqués est une liste de certificats numériques révoqués par l'autorité de certification émettrice avant leur date d'expiration programmée et ne doivent plus être approuvés et utilisés sur le réseau. Par exemple, vous devez révoquer tous les certificats qui ont été perdus, volés ou compromis.

Après avoir utilisé la fonctionnalité Gérer les certificats pour révoquer les certificats pour les utilisateurs, Oracle Blockchain Platform crée la liste de révocation de certificats. Pour vous assurer que les certificats sont révoqués dans tout le réseau, vous devez :

  • Utilisez la fonctionnalité Apply CRL après avoir joint des pairs à un canal créé par un autre membre du réseau. L'application de la liste de révocation de certificats empêche les clients ayant des certificats révoqués d'accéder au canal. Voir Appliquer la liste de révocation de certificats.

Voir et gérer les certificats

Utilisez la console pour voir et gérer les certificats d'utilisateur de votre instance et de tous les certificats importés lors de la création du réseau.

  1. Allez à la console et sélectionnez l'onglet Réseau.
  2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats de client.
    Notez que la table Sommaire des certificats sera vide jusqu'à ce que vous ajoutiez des utilisateurs à votre instance. De plus, le certificat de l'administrateur ne s'affiche pas dans cette table. Cela vous empêche de révoquer accidentellement le certificat de l'administrateur.
    Les organisations avec des certificats de tierce partie ou une organisation Hyperledger Fabric avec des certificats révoqués ne s'afficheront pas dans ce tableau. Dans ce cas, vous devez utiliser l'interface de ligne de commande ou la trousse SDK Hyperledger Fabric native pour importer le fichier de liste de révocation de certificats (CRL) de l'organisation.
    La boîte de dialogue Sommaire des certificats s'affiche et présente la liste des certificats dans votre instance.
  3. Au besoin, effectuez l'une des tâches suivantes :
    • Révoquer des certificats. Voir Révoquer les certificats.
    • Si vous avez révoqué des certificats et que vous travaillez dans un réseau comportant plusieurs membres, utilisez Appliquer la liste de révocation de certificats après avoir joint des pairs à un canal créé par un autre membre du réseau. L'application de la liste de révocation de certificats empêche les clients ayant des certificats révoqués d'accéder au canal. Voir Appliquer la liste de révocation de certificats.

Révoquer les certificats

Une organisation peut révoquer des certificats pour tous ses utilisateurs. Pour vous assurer que le réseau reste sécurisé, vous devez révoquer les certificats en cas de perte, de vol ou de compromission.

Vous devez être un administrateur pour effectuer cette tâche.
  1. Allez à la console et sélectionnez l'onglet Réseau.
  2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats de client.
    La boîte de dialogue Sommaire des certificats s'affiche.
  3. Dans la boîte de dialogue Sommaire des certificats, localisez et sélectionnez les ID des utilisateurs pour lesquels vous voulez révoquer les certificats.
  4. Cliquez sur Révoquer et confirmez que vous voulez révoquer définitivement les certificats pour les utilisateurs sélectionnés.
    Les utilisateurs dont le certificat a été révoqué s'affichent dans le tableau et sont ajoutés à la liste des certificats révoqués.
  5. Si vous travaillez dans un réseau avec d'autres membres, pour vous assurer que leurs certificats révoqués sont nettoyés sur l'ensemble du réseau, vous devez effectuer les opérations suivantes :
    • Si vous travaillez dans un réseau comportant plusieurs membres, appliquez la liste de révocation de certificats après avoir joint des pairs à un canal créé par un autre membre du réseau. L'application de la liste de révocation de certificats empêche les clients ayant des certificats révoqués d'accéder au canal. Voir Appliquer la liste de révocation de certificats.

Appliquer la liste des certificats révoqués

Si vous travaillez dans un réseau, vous devez appliquer la liste de révocation de certificats après avoir joint des pairs à un canal créé par un autre membre du réseau. L'application de la liste de révocation de certificats empêche les membres ayant des certificats révoqués d'accéder au canal.

Vous devez effectuer les tâches suivantes avant d'appliquer la liste de révocation de certificats :
Vous devez être un administrateur pour effectuer cette tâche.
  1. Allez à la console et sélectionnez l'onglet Réseau.
  2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats de client.
    La boîte de dialogue Sommaire des certificats s'affiche.
  3. Cliquez sur le bouton Appliquer la liste de révocation de certificats et confirmez que vous voulez appliquer la liste de révocation de certificats.