Gérer les certificats

Workflows standard de gestion des certificats

Voici les tâches courantes de gestion des certificats de votre réseau.

Ajout d'organisations au réseau

Pour effectuer ces tâches, vous devez être administrateur.

Tâche	Description	En savoir plus
Exporter ou préparer les certificats d'une organisation	L'organisation qui veut rejoindre le réseau sort ou écrit son fichier de certificats et le donne au fondateur.	Exporter les certificats Création du fichier de certificats tiers d'une organisation
Importer des certificats de membre	Le fondateur importe le fichier de certificats de l'organisation pour ajouter l'organisation au réseau.	Importer des certificats pour ajouter des organisations au réseau
Afficher les certificats	Le fondateur peut afficher et gérer les certificats du réseau.	Affichage et gestion des certificats

Révocation de certificat

Pour effectuer ces tâches, vous devez être administrateur.

Tâche	Description	En savoir plus
Choisir les certificats à révoquer	Affichez les certificats de votre système pour déterminer ceux à révoquer pour assurer la sécurité du réseau.	Affichage et gestion des certificats
Sélectionnez les certificats à révoquer.	Révoquez les certificats de votre autorité de certification.	Révoquer des certificats
Appliquer la liste des certificats révoqués	Génère et applique une liste de certificats révoqués mise à jour pour garantir que les clients ayant des certificats révoqués ne peuvent pas accéder aux canaux.	Appliquer la liste des certificats révoqués

Exporter les certificats

Les fondateurs et les organisations participantes doivent importer et exporter des fichiers JSON de certificat pour créer le réseau.

Notez les informations suivantes :

Pour que le fondateur ajoute une organisation participante au réseau blockchain, le participant doit exporter son fichier de certificats et le mettre à la disposition du fondateur. Le fondateur charge ensuite le fichier de certificats pour ajouter l'organisation participante au réseau.
Le fichier d'export de certificat contient des admincerts, des cacerts et des tlscacerts.
Vous devrez peut-être exporter des certificats pour les développeurs de blockchain ou d'applications. Par exemple, une application client a besoin du certificat TLS pour interagir avec des pairs ou des donneurs d'ordres.

Pour plus d'informations sur l'écriture des fichiers de certificat requis pour ajouter des organisations Hyperledger Fabric ou tierces au réseau, reportez-vous à la section Extend the Network.

Accédez à la console et sélectionnez l'onglet Réseau.
Dans l'onglet Réseau, accédez à la table Organisations, localisez le membre pour lequel exporter les certificats, puis cliquez sur le bouton Actions supplémentaires correspondant.
Cliquez sur Exporter les certificats.
Les fichiers exportés par la console et les API REST sont uniquement compatibles pour l'import avec le même composant. Vous ne pouvez donc pas utiliser l'API REST pour importer un fichier d'export créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'export créé avec l'API REST.
Indiquez l'emplacement d'enregistrement du fichier. Cliquez sur OK pour enregistrer le fichier de certificats.
Envoyez le fichier JSON des certificats au fondateur pour importation. Reportez-vous à Import de certificats pour ajouter des organisations au réseau.

Importer des certificats pour ajouter des organisations au réseau

Pour ajouter une organisation au réseau, le fondateur doit importer un fichier de certificats qui a été exporté ou préparé par l'organisation qui souhaite rejoindre le réseau.

Vous pouvez importer des certificats pour les types d'organisation suivants.

Type	Description
Organisation participante à Oracle Blockchain Platform	Vous pouvez importer une organisation participante dans un réseau Oracle Blockchain Platform. Vous chargez les certificats que l'organisation participante a exportés depuis la console et qui vous ont été envoyés. Pour plus d'informations sur la création de certificats à charger et sur la liste des autres étapes à effectuer pour configurer une organisation participante sur le réseau, voir Rejoindre le système d'exploitation Participant ou Redimensionné au service de commande du fondateur.

Type

Description

Organisation participante à Oracle Blockchain Platform

Vous pouvez importer une organisation participante dans un réseau Oracle Blockchain Platform. Vous chargez les certificats que l'organisation participante a exportés depuis la console et qui vous ont été envoyés.

Pour plus d'informations sur la création de certificats à charger et sur la liste des autres étapes à effectuer pour configurer une organisation participante sur le réseau, voir Rejoindre le système d'exploitation Participant ou Redimensionné au service de commande du fondateur.

Vous devez être un administrateur pour importer des certificats.

Accédez à la console et sélectionnez l'onglet Réseau.
Dans l'onglet Réseau, cliquez sur Ajouter des organisations. La page Ajouter des organisations apparaît.
Les fichiers exportés par la console et les API REST sont uniquement compatibles pour l'import avec le même composant. Vous ne pouvez donc pas utiliser l'API REST pour importer un fichier d'export créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'export créé avec l'API REST.
Cliquez sur Upload Organization Certificates (Télécharger les certificats d'organisation). La boîte de dialogue Téléchargement de fichier vers le serveur apparaît.
Parcourez le fichier JSON contenant les informations de certificat de l'organisation à ajouter au réseau et sélectionnez-le. Généralement, ce fichier est nommé certs.json. Cliquez sur Ouvrir.
(Facultatif) Cliquez sur l'icône plus (+) pour rechercher et charger les informations de certificat d'une autre organisation.
Cliquez sur Ajouter. Les organisations que vous avez ajoutées sont affichées dans la table Organisation.
Notez les informations suivantes pour les organisations participant à Oracle Blockchain Platform et Hyperledger Fabric. Même si le fondateur a téléchargé les informations du certificat, l'organisation ajoutée ne peut pas utiliser le service de commande pour communiquer sur le réseau tant qu'elle n'a pas importé les paramètres du service de commande du fondateur. Le fondateur doit exporter ses paramètres de service de commande et transmettre le fichier résultant aux organisations adhérentes pour importation. Choisissez-en un parmi les possibilités suivantes :
- Pour les participants à Oracle Blockchain Platform, reportez-vous à Rejoindre le système d'exploitation Participant ou Redimensionné au service de commande du fondateur.

Qu'est-ce qu'une liste de révocation de certificats ?

Vous utilisez une liste de certificats révoqués (CRL) pour gérer les certificats sur l'ensemble du réseau.

Une liste de certificats révoqués est une liste de certificats numériques que l'autorité de certification émettrice a révoqués avant leur date d'expiration planifiée et qui ne doivent plus être approuvés et utilisés sur le réseau. Par exemple, vous utilisez une liste des certificats révoqués pour révoquer les certificats qui ont été perdus, volés ou compromis.

Une fois que vous avez utilisé la fonctionnalité Gérer les certificats pour révoquer des certificats pour les utilisateurs, Oracle Blockchain Platform crée la liste des certificats révoqués. Pour vous assurer que les certificats sont révoqués sur l'ensemble du réseau, vous devez effectuer la tâche suivante :

Appliquez la liste des certificats révoqués après avoir joint des homologues à un canal créé par un autre membre du réseau. L'application d'une liste de certificats révoqués empêche les clients ayant des certificats révoqués d'accéder au canal. Reportez-vous à la section Apply the CRL.

Affichage et gestion des certificats

Utilisez la console pour afficher et gérer les certificats utilisateur dans votre instance et tous les certificats que vous avez importés lors de la création du réseau.

Accédez à la console et sélectionnez l'onglet Réseau.
Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les attestations client.
Le tableau Récapitulatif des certificats sera vide jusqu'à ce que vous ajoutiez des utilisateurs à votre instance. En outre, le certificat de l'administrateur ne s'affiche pas dans ce tableau. Cela vous empêche de révoquer accidentellement le certificat de l'administrateur.

Les organisations avec des certificats tiers avec des certificats révoqués ne s'afficheront pas dans ce tableau. Dans ce cas, vous devez utiliser la CLI ou le kit SDK Hyperledger Fabric natif pour importer le fichier de liste de certificats révoqués (CRL) de l'organisation.

La boîte de dialogue Certificates Summary (Récapitulatif des certificats) apparaît et affiche la liste des certificats de votre instance.
Si nécessaire, effectuez l'une des tâches suivantes :
- Révoquer les certificats. Reportez-vous à Révocation de certificats.
- Si vous avez révoqué des certificats et que vous travaillez dans un réseau avec plusieurs membres, utilisez Appliquer la liste des certificats révoqués après avoir joint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients ayant des certificats révoqués d'accéder au canal. Reportez-vous à la section Apply the CRL.

Révoquer des certificats

Une organisation peut révoquer des certificats pour l'un de ses utilisateurs. Pour garantir la sécurité du réseau, révoquez les certificats s'ils sont perdus, volés ou compromis.

Vous devez être administrateur pour effectuer cette tâche.

Accédez à la console et cliquez sur l'onglet Réseau.
Sur la page Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les attestations client.
La boîte de dialogue Récapitulatif des certificats s'affiche.
Dans la boîte de dialogue Récapitulatif des certificats, localisez et sélectionnez les ID des utilisateurs pour lesquels révoquer des certificats.
Cliquez sur Révoquer et confirmez que vous souhaitez révoquer définitivement les certificats des utilisateurs sélectionnés.
Les utilisateurs dont le certificat a été révoqué s'affichent dans le tableau et sont ajoutés à la liste des certificats révoqués.
Si vous travaillez dans un réseau avec d'autres membres, pour vous assurer que leurs certificats révoqués sont nettoyés sur l'ensemble du réseau, vous devez effectuer les opérations suivantes :
- Si vous travaillez dans un réseau avec plusieurs membres, appliquez la liste des certificats révoqués après avoir joint des pairs à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients ayant des certificats révoqués d'accéder au canal. Reportez-vous à la section Apply the CRL.

Appliquer la liste des certificats révoqués

Si vous travaillez dans un réseau, vous devez appliquer la liste des certificats révoqués après avoir joint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les membres ayant des certificats révoqués d'accéder au canal.

Avant d'appliquer la liste des certificats révoqués, vous devez effectuer les tâches suivantes :

Révoquer les certificats. Reportez-vous à Révocation de certificats

Pour réaliser cette tâche, vous devez être administrateur.

Accédez à la console et sélectionnez l'onglet Réseau.
Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les attestations client.
La boîte de dialogue Récapitulatif des certificats s'affiche.
Cliquez sur le bouton Apply CRL et confirmez l'application de la liste.