Gérer les certificats

Cette rubrique contient des informations sur la gestion des certificats de votre réseau, notamment sur l'importation et l'exportation de certificats pour configurer votre réseau de chaîne de blocs, ainsi que sur la gestion et la révocation de certificats.

Workflows standard de gestion des certificats

Voici les tâches courantes de gestion des certificats de votre réseau.

Ajouter des organisations au réseau

Pour effectuer ces tâches, vous devez être administrateur.

Tâche	Description	En savoir plus
Exporter ou préparer les certificats d'une organisation	L'organisation qui souhaite rejoindre le réseau sort ou écrit son fichier de certificats et le remet au fondateur.	Exporter des certificats Création d'un fichier de certificats d'organisation Fabric Création du fichier de certificats tiers d'une organisation
Importer des certificats de membre	Le fondateur importe le fichier de certificats de l'organisation pour l'ajouter au réseau.	Importation de certificats pour ajouter des organisations au réseau
Visualiser les certificats	Le fondateur peut consulter et gérer les certificats du réseau.	Affichage et gestion des certificats

Révocation de certificats

Pour effectuer ces tâches, vous devez être administrateur.

Tâche	Description	En savoir plus
Décider des certificats à révoquer	Affichez les certificats de votre système pour déterminer ceux à révoquer afin de sécuriser le réseau.	Affichage et gestion des certificats
Sélectionner les certificats à révoquer	Révoquez les certificats dans votre CA.	Révoquer des certificats
Appliquer la liste de certificats révoqués	Génère et applique une liste de certificats révoqués mise à jour pour s'assurer que les clients avec des certificats révoqués ne peuvent pas accéder aux canaux.	Appliquer la liste de certificats révoqués

Exporter des certificats

Les fondateurs et les organisations participantes doivent importer et exporter des fichiers JSON de certificat pour créer le réseau.

Notez les informations suivantes :

• Pour que le fondateur ajoute une organisation participante au réseau blockchain, le participant doit exporter son fichier de certificats et le mettre à la disposition du fondateur. Le fondateur charge ensuite le fichier de certificats pour ajouter l'organisation participante au réseau.

• Le fichier d'exportation de certificats contient des administrateurs, des cacerts et des tlscacerts.

• Vous devrez peut-être exporter des certificats pour les développeurs de chaînes de blocs ou d'applications. Par exemple, une application client a besoin du certificat TLS pour interagir avec des homologues ou des donneurs d'ordres.

Pour plus d'informations sur l'écriture des fichiers de certificat requis pour ajouter des organisations Hyperledger Fabric ou tierces au réseau, reportez-vous à la section Extend the Network.

1. Accédez à la console et sélectionnez l'onglet Network.
2. Dans l'onglet Réseau, accédez à la table Organisations, localisez le membre pour lequel exporter les certificats, puis cliquez sur le bouton Actions supplémentaires correspondant.
3. Cliquez sur Exporter des certificats.
   Les fichiers exportés par la console et les API REST sont uniquement compatibles pour l'import avec le même composant. Autrement dit, vous ne pouvez pas utiliser l'API REST pour importer un fichier d'export créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'export créé avec l'API REST.
4. Indiquez où enregistrer le fichier. Cliquez sur OK pour enregistrer le fichier de certificats.
5. Envoyez le fichier JSON de certificats au fondateur pour importation. Reportez-vous à Import de certificats pour ajouter des organisations au réseau.

Importation de certificats pour ajouter des organisations au réseau

Pour ajouter une organisation au réseau, le fondateur doit importer un fichier de certificats qui a été exporté ou préparé par l'organisation qui souhaite rejoindre le réseau.

Vous pouvez importer des certificats pour les types d'organisation suivants.

Type	Description
Organisation participante Oracle Blockchain Platform	Vous pouvez importer une organisation participante dans un réseau Oracle Blockchain Platform. Vous chargez les attestations que l'organisation participante a exportées à partir de la console et qui vous ont été envoyées. Pour plus d'informations sur la création d'attestations à charger et sur la liste des autres étapes à effectuer pour configurer correctement une organisation participante sur le réseau, reportez-vous à Rejoindre les OSN participant ou redimensionnés au service de commande du fondateur.
Organisation Hyperledger Fabric	Vous pouvez importer une organisation Hyperledger Fabric dans un réseau Oracle Blockchain Platform. Pour télécharger avec succès le fichier de certificats d'une organisation Fabric, vous devez modifier le fichier de certificats pour remplacer toutes les instances de \n par le caractère de nouvelle ligne. Reportez-vous à Workflow standard pour joindre une organisation Fabric à un réseau Oracle Blockchain Platform.
Organisation du certificat tiers	Vous pouvez importer une organisation qui utilise des certificats générés à partir d'un serveur CA tiers. Pour charger correctement le fichier de certificats d'une organisation tierce, vous devez modifier le fichier de certificats afin de remplacer toutes les instances de \n par le caractère de retour à la ligne. Reportez-vous à Workflow standard pour rejoindre une organisation disposant de certificats tiers sur un réseau Oracle Blockchain Platform.

Vous devez être administrateur pour importer les certificats.

1. Accédez à la console et sélectionnez l'onglet Réseau.
2. Dans l'onglet Réseau, cliquez sur Ajouter des organisations. La page Ajouter des organisations s'affiche.
   Les fichiers exportés par la console et les API REST sont uniquement compatibles pour l'import avec le même composant. Autrement dit, vous ne pouvez pas utiliser l'API REST pour importer un fichier d'export créé avec la console. De même, vous ne pouvez pas utiliser la console pour importer un fichier d'export créé avec l'API REST.
3. Cliquez sur Télécharger les certificats d'organisation. La boîte de dialogue Téléchargement de fichier vers le serveur est affichée.
4. Parcourez et sélectionnez le fichier JSON contenant les informations de certificat de l'organisation à ajouter au réseau. Ce fichier est généralement nommé certs.json. Cliquez sur Ouvrir.
5. (Facultatif) Cliquez sur l'icône plus (+) pour localiser et charger les informations de certificat d'une autre organisation.
6. Cliquez sur Ajouter. Les organisations que vous avez ajoutées sont affichées dans la table Organisation.
   Notez les informations suivantes pour le participant Oracle Blockchain Platform, Hyperledger Fabric et les organisations de certificats tierces. Même si le fondateur a téléchargé les informations de certificat, l'organisation ajoutée ne peut pas utiliser le service de commande pour communiquer sur le réseau tant qu'elle n'importe pas les paramètres de service de commande du fondateur. Le fondateur doit exporter ses paramètres de service de commande et fournir le fichier résultant aux organisations joignantes pour importation. Choisissez-en un parmi les possibilités suivantes :

   • Pour les participants à Oracle Blockchain Platform, reportez-vous à Rejoindre le participant ou les OSN redimensionnés au service de commande du fondateur.
   • Pour les organisations Hyperledger Fabric, reportez-vous à Préparation de l'environnement Fabric à l'utilisation du réseau Oracle Blockchain Platform.
   • Pour les organisations de certificats tierces, reportez-vous à Préparation de l'environnement tiers à l'utilisation du réseau Oracle Blockchain Platform.

Qu'est-ce qu'une liste de certificats révoqués ?

Vous utilisez une liste de certificats révoqués (CRL) pour gérer les certificats sur l'ensemble de votre réseau.

Une liste de certificats révoqués est une liste de certificats numériques que l'autorité de certification émettrice a révoqués avant leur date d'expiration prévue et qui ne doivent plus être approuvés et utilisés sur le réseau. Par exemple, vous devez révoquer les certificats perdus, volés ou compromis.

Une fois que vous avez utilisé la fonctionnalité Gérer les certificats pour révoquer les certificats des utilisateurs, Oracle Blockchain Platform crée la liste de certificats révoqués. Pour vous assurer que les certificats sont révoqués sur l'ensemble du réseau, vous devez :

• Utilisez la fonctionnalité Appliquer la liste de certificats révoqués après avoir joint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients disposant de certificats révoqués d'accéder au canal. Reportez-vous à Application de la LCR

Affichage et gestion des certificats

Utilisez la console pour visualiser et gérer les certificats utilisateur de votre instance, ainsi que les certificats que vous avez importés lors de la création du réseau.

1. Accédez à la console et sélectionnez l'onglet Réseau.
2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats de client.
   Le tableau Certificate Summary (Récapitulatif des certificats) sera vide jusqu'à ce que vous ajoutiez des utilisateurs à votre instance. En outre, le certificat de l'administrateur ne s'affiche pas dans ce tableau. Cela vous empêche de révoquer accidentellement le certificat de l'administrateur.
   Les organisations avec des certificats tiers ou une organisation Hyperledger Fabric avec des certificats révoqués ne s'afficheront pas dans cette table. Dans ce cas, vous devez utiliser la CLI ou le SDK Hyperledger Fabric natif pour importer le fichier de liste de certificats révoqués de l'organisation.
   La boîte de dialogue Récapitulatif des certificats apparaît et affiche la liste des certificats de votre instance.
3. Si nécessaire, exécutez l'une des tâches suivantes :
   • Révoquer des certificats. Reportez-vous à Revoke Certificates.
   • Si vous avez révoqué des certificats et que vous travaillez sur un réseau avec plusieurs membres, utilisez Appliquer la liste des certificats révoqués après avoir rejoint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients disposant de certificats révoqués d'accéder au canal. Reportez-vous à Application de la LCR

Révoquer des certificats

Une organisation peut révoquer des certificats pour l'un de ses utilisateurs. Pour garantir la sécurité du réseau, vous devez révoquer les certificats en cas de perte, de vol ou de compromission.

Pour réaliser cette tâche, vous devez être administrateur.

1. Accédez à la console et sélectionnez l'onglet Réseau.
2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats de client.
   La boîte de dialogue Certificates Summary s'affiche.
3. Dans la boîte de dialogue Certificates Summary, localisez et sélectionnez les ID des utilisateurs pour lesquels vous souhaitez révoquer des certificats.
4. Cliquez sur Révoquer et confirmez que vous souhaitez révoquer définitivement les certificats des utilisateurs sélectionnés.
   Les utilisateurs avec un certificat révoqué s'affichent dans le tableau et sont ajoutés à la liste des certificats révoqués.
5. Si vous travaillez sur un réseau avec d'autres membres, pour vous assurer que leurs certificats révoqués sont nettoyés sur l'ensemble du réseau, vous devez effectuer les opérations suivantes :
   • Si vous travaillez sur un réseau avec plusieurs membres, appliquez la liste des certificats révoqués après avoir joint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les clients disposant de certificats révoqués d'accéder au canal. Reportez-vous à Application de la LCR

Appliquer la liste de certificats révoqués

Si vous travaillez sur un réseau, vous devez appliquer la liste des certificats révoqués après avoir rejoint des homologues à un canal créé par un autre membre du réseau. L'application de la liste des certificats révoqués empêche les membres disposant de certificats révoqués d'accéder au canal.

Vous devez effectuer les tâches suivantes avant d'appliquer la liste des certificats révoqués :

• Révoquer des certificats. Reportez-vous à Revoke Certificates.

Pour réaliser cette tâche, vous devez être administrateur.

1. Accédez à la console et sélectionnez l'onglet Réseau.
2. Dans l'onglet Réseau, localisez l'ID de votre organisation et cliquez sur le bouton Actions supplémentaires correspondant. Sélectionnez Gérer les certificats de client.
   La boîte de dialogue Certificates Summary s'affiche.
3. Cliquez sur le bouton Apply CRL et confirmez que vous souhaitez appliquer la liste de certificats révoqués.