Gérer les certificats

Cette rubrique contient des informations sur la gestion des certificats de votre réseau, notamment sur l'importation et l'exportation de certificats pour configurer votre réseau de chaîne de blocs, ainsi que sur la gestion et la révocation de certificats.

Workflows standard de gestion des certificats

Voici les tâches courantes de gestion des certificats de votre réseau.

Ajouter des organisations au réseau

Pour effectuer ces tâches, vous devez être administrateur.

Tâche	Description	En savoir plus
Exporter ou préparer les certificats d'une organisation	L'organisation qui souhaite rejoindre le réseau génère ou écrit son fichier de certificats et le remet au fondateur.	Exporter les certificats Création du fichier de certificats d'une organisation Fabric Créer le fichier de certificats tiers d'une organisation
Importer des certificats de membre	Le fondateur importe le fichier de certificats de l'organisation pour l'ajouter au réseau.	Import de certificats pour ajouter des organisations au réseau
Visualiser les certificats	Le fondateur peut consulter et gérer les certificats du réseau.	Afficher et gérer les certificats

Révocation de certificats

Pour effectuer ces tâches, vous devez être administrateur.

Tâche	Description	En savoir plus
Décider quels certificats révoquer	Affichez les certificats de votre système pour déterminer ceux à révoquer afin de sécuriser le réseau.	Afficher et gérer les certificats
Sélectionner les certificats à révoquer	Révoquez les certificats dans votre CA.	Révoquer des certificats
Appliquer la liste des certificats révoqués	Génère et applique une liste de certificats révoqués mise à jour pour s'assurer que les clients disposant de certificats révoqués ne peuvent pas accéder aux canaux.	Appliquer la liste des certificats révoqués

Exporter les certificats

Les fondateurs et les organisations participantes doivent importer et exporter des fichiers JSON de certificat pour créer le réseau.

Notez les informations suivantes :

• Pour que le fondateur ajoute une organisation participante au réseau blockchain, le participant doit exporter son fichier de certificats et le mettre à la disposition du fondateur. Le fondateur télécharge ensuite le fichier de certificats pour ajouter l'organisation participante au réseau.

• Le fichier d'export de certificat contient des administrateurs, des cacerts et des tlscacerts.

• Vous devrez peut-être exporter des certificats pour les développeurs de blockchain ou d'applications. Par exemple, une application client a besoin du certificat TLS pour interagir avec des pairs ou des donneurs d'ordres.

Pour plus d'informations sur l'écriture des fichiers de certificat requis pour ajouter des organisations Hyperledger Fabric ou tierces au réseau, reportez-vous à la section Extend the Network.

1. Accédez à la console et sélectionnez l'onglet Réseau.
2. Dans l'onglet Réseau, accédez à la table Organisations, localisez le membre pour lequel exporter des certificats, puis cliquez sur le bouton Actions supplémentaires correspondant.
3. Cliquez sur Exporter les certificats.
   Les fichiers exportés par la console et les API REST ne sont compatibles que pour l'import avec le même composant. Autrement dit, vous ne pouvez pas utiliser l'API REST pour importer un fichier d'export créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'export créé avec l'API REST.
4. Indiquez où enregistrer le fichier. Cliquez sur OK pour enregistrer le fichier de certificats.
5. Envoyez le fichier JSON des certificats au fondateur pour importation. Reportez-vous à Import de certificats pour ajouter des organisations au réseau.

Import de certificats pour ajouter des organisations au réseau

Pour ajouter une organisation au réseau, le fondateur doit importer un fichier de certificats qui a été exporté ou préparé par l'organisation qui veut rejoindre le réseau.

Vous pouvez importer des certificats pour les types d'organisation suivants.

Type	Description
Organisation participante Oracle Blockchain Platform	Vous pouvez importer une organisation participante dans un réseau Oracle Blockchain Platform. Vous chargez les attestations que l'organisation participante a exportées à partir de la console et vous a envoyées. Pour plus d'informations sur la création de certificats à télécharger et pour obtenir la liste des autres étapes à effectuer pour configurer une organisation participante sur le réseau, reportez-vous à Rejoindre les OSN participant ou redimensionné au service de commande du fondateur.
Organisation Hyperledger Fabric	Vous pouvez importer une organisation Hyperledger Fabric dans un réseau Oracle Blockchain Platform. Pour télécharger correctement le fichier de certificats d'une organisation Fabric, vous devez modifier le fichier de certificats afin de remplacer toutes les instances de \n par le caractère de nouvelle ligne. Reportez-vous à Workflow standard pour rejoindre une organisation Fabric à un réseau Oracle Blockchain Platform.
Organisation de certificat tiers	Vous pouvez importer une organisation qui utilise des certificats générés à partir d'un serveur CA tiers. Pour charger correctement le fichier de certificats d'une organisation tierce, vous devez modifier le fichier de certificats afin de remplacer toutes les instances de \n par le caractère de nouvelle ligne. Reportez-vous à Workflow standard pour rejoindre une organisation disposant de certificats tiers sur un réseau Oracle Blockchain Platform.

Vous devez être administrateur pour importer des certificats.

1. Accédez à la console et sélectionnez l'onglet Network.
2. Dans l'onglet Réseau, cliquez sur Ajouter des organisations. La page Ajouter des organisations s'affiche.
   Les fichiers exportés par la console et les API REST ne sont compatibles que pour l'import avec le même composant. Autrement dit, vous ne pouvez pas utiliser l'API REST pour importer un fichier d'export créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'export créé avec l'API REST.
3. Cliquez sur Télécharger des certificats d'organisation. La boîte de dialogue Chargement de fichier s'affiche.
4. Recherchez et sélectionnez le fichier JSON contenant les informations de certificat de l'organisation à ajouter au réseau. En général, ce fichier est nommé certs.json. Cliquez sur Ouvrir.
5. (Facultatif) Cliquez sur l'icône plus (+) pour localiser et télécharger les informations de certificat d'une autre organisation.
6. Cliquez sur Ajouter. Les organisations que vous avez ajoutées sont affichées dans la table Organisation.
   Notez les informations suivantes pour les participants Oracle Blockchain Platform, Hyperledger Fabric et les organisations de certificats tierces. Même si le fondateur a téléchargé les informations de certificat, l'organisation ajoutée ne peut pas utiliser le service de commande pour communiquer sur le réseau tant qu'elle n'a pas importé les paramètres du service de commande du fondateur. Le fondateur doit exporter ses paramètres de service de commande et fournir le fichier obtenu aux organisations adhérentes pour importation. Choisissez-en un :

   • Pour les participants à Oracle Blockchain Platform, reportez-vous à Rejoindre les OSN participants ou évolutifs au service de commande du fondateur.
   • Pour les organisations Hyperledger Fabric, reportez-vous à Préparation de l'environnement Fabric pour utiliser le réseau Oracle Blockchain Platform.
   • Pour les organisations de certificats tierces, reportez-vous à Préparation de l'environnement tiers à l'utilisation du réseau Oracle Blockchain Platform.

Qu'est-ce qu'une liste de certificats révoqués ?

Vous utilisez une liste de certificats révoqués (CRL) pour vous aider à gérer les certificats sur l'ensemble de votre réseau.

Une liste de certificats révoqués est une liste de certificats numériques que l'autorité de certification émettrice a révoqués avant leur date d'expiration programmée et qui ne doivent plus être approuvés et utilisés sur le réseau. Par exemple, vous devez révoquer tous les certificats qui ont été perdus, volés ou compromis.

Une fois que vous avez utilisé la fonctionnalité Gérer les certificats pour révoquer les certificats pour les utilisateurs, Oracle Blockchain Platform crée la liste des certificats révoqués. Pour vous assurer que les certificats sont révoqués sur l'ensemble du réseau, vous devez :

• Utilisez la fonctionnalité Appliquer la liste des certificats révoqués après avoir joint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients disposant de certificats révoqués d'accéder au canal. Reportez-vous à Apply the CRL

Afficher et gérer les certificats

Utilisez la console pour visualiser et gérer les certificats utilisateur dans votre instance, ainsi que tous les certificats importés lors de la création du réseau.

1. Accédez à la console et sélectionnez l'onglet Network.
2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats client.
   Le tableau Récapitulatif des certificats sera vide jusqu'à ce que vous ajoutiez des utilisateurs à votre instance. En outre, le certificat de l'administrateur ne s'affiche pas dans ce tableau. Cela vous empêche de révoquer accidentellement le certificat de l'administrateur.
   Les organisations disposant de certificats tiers ou d'une organisation Hyperledger Fabric avec certificats révoqués ne s'afficheront pas dans ce tableau. Dans ce cas, vous devez utiliser la CLI ou le SDK Hyperledger Fabric natif pour importer le fichier de liste de certificats révoqués de l'organisation.
   La boîte de dialogue Certificates Summary s'affiche et affiche la liste des certificats de votre instance.
3. Si nécessaire, effectuez l'une des tâches suivantes :
   • révoquer des certificats. Reportez-vous à la section Revoke Certificates.
   • Si vous avez révoqué des certificats et que vous travaillez sur un réseau avec plusieurs membres, utilisez Appliquer la liste des certificats révoqués après avoir joint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients disposant de certificats révoqués d'accéder au canal. Reportez-vous à Apply the CRL

Révoquer des certificats

Une organisation peut révoquer des certificats pour n'importe lequel de ses utilisateurs. Pour garantir la sécurité du réseau, vous devez révoquer les certificats en cas de perte, de vol ou de compromission.

Pour réaliser cette tâche, vous devez être administrateur.

1. Accédez à la console et sélectionnez l'onglet Network.
2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats client.
   La boîte de dialogue Certificates Summary s'affiche.
3. Dans la boîte de dialogue Récapitulatif des certificats, localisez et sélectionnez les ID des utilisateurs pour lesquels révoquer des certificats.
4. Cliquez sur Révoquer et confirmez que vous souhaitez révoquer définitivement les certificats pour les utilisateurs sélectionnés.
   Les utilisateurs dont le certificat est révoqué s'affichent dans la table et sont ajoutés à la liste des certificats révoqués.
5. Si vous travaillez sur un réseau avec d'autres membres, pour vous assurer que leurs certificats révoqués sont nettoyés sur l'ensemble du réseau, vous devez effectuer les opérations suivantes :
   • Si vous travaillez dans un réseau avec plusieurs membres, appliquez la liste de certificats révoqués une fois que vous avez rejoint des pairs sur un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients disposant de certificats révoqués d'accéder au canal. Reportez-vous à Apply the CRL

Appliquer la liste des certificats révoqués

Si vous travaillez sur un réseau, vous devez appliquer la liste des certificats révoqués après avoir rejoint des pairs sur un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les membres disposant de certificats révoqués d'accéder au canal.

Vous devez effectuer les tâches suivantes avant d'appliquer la liste des certificats révoqués :

• révoquer des certificats. Reportez-vous à la section Revoke Certificates.

Pour réaliser cette tâche, vous devez être administrateur.

1. Accédez à la console et sélectionnez l'onglet Network.
2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats client.
   La boîte de dialogue Certificates Summary s'affiche.
3. Cliquez sur le bouton Appliquer la liste des certificats révoqués et confirmez l'application de la liste.