Gestisci certificati

Questo argomento contiene informazioni su come gestire i certificati della rete, tra cui come importare ed esportare i certificati per impostare la rete blockchain e come gestire e revocare i certificati.

Flussi di lavoro standard per la gestione dei certificati

Di seguito sono riportati i task comuni per la gestione dei certificati della rete.

Aggiunta delle organizzazioni alla rete

Per eseguire questi task è necessario essere un amministratore.

Task	Descrizione	Ulteriori informazioni
Esportare o preparare i certificati di un'organizzazione	L'organizzazione che vuole unirsi alla rete emette o scrive il suo file di certificati e lo dà al fondatore.	Esporta certificati Crea file certificati organizzazione Fabric Creare un file dei certificati di terze parti di un'organizzazione
Importa certificati membri	Il fondatore importa il file dei certificati dell'organizzazione per aggiungere l'organizzazione alla rete.	Importa certificati per aggiungere organizzazioni alla rete
Visualizza certificati	Il fondatore può visualizzare e gestire i certificati della rete.	Visualizza e gestisce i certificati

Revoca dei certificati

Per eseguire questi task è necessario essere un amministratore.

Task	Descrizione	Ulteriori informazioni
Decidere quali certificati revocare	Visualizzare i certificati nel sistema per determinare quali revocare per proteggere la rete.	Visualizza e gestisce i certificati
Selezionare i certificati da revocare	Revocare i certificati nella CA.	Revocare certificati
Applica CRL	Genera e applica un CRL aggiornato per garantire che i client con certificati revocati non possano accedere ai canali.	Applicare il CRL

Esporta certificati

I fondatori e le organizzazioni partecipanti devono importare ed esportare i file JSON dei certificati per creare la rete.

Tenere presenti le informazioni riportate di seguito.

• Affinché il fondatore aggiunga un'organizzazione partecipante alla rete blockchain, il partecipante deve esportare il suo file di certificati e renderlo disponibile al fondatore. Il fondatore carica quindi il file dei certificati per aggiungere l'organizzazione partecipante alla rete.

• Il file di esportazione del certificato contiene admincerts, cacerts e tlscacerts.

• Potrebbe essere necessario esportare i certificati per gli sviluppatori di blockchain o applicazioni. Ad esempio, un'applicazione client richiede il certificato TLS per interagire con i pari livello o gli ordini.

Per informazioni sulla scrittura dei file di certificato necessari per aggiungere organizzazioni Hyperledger Fabric o di terze parti alla rete, vedere Extend the Network.

1. Andare alla console e selezionare la scheda Network.
2. Nella scheda Rete, andare alla tabella Organizzazioni, individuare il membro per il quale si desidera esportare i certificati e fare clic sul relativo pulsante Altre azioni.
3. Fare clic su Esporta certificati.
   Tenere presente che i file esportati dalla console e dalle API REST sono compatibili solo per l'importazione con lo stesso componente. Non è possibile utilizzare correttamente l'API REST per importare un file di esportazione creato con la console. Allo stesso modo, non è possibile utilizzare correttamente la console per importare un file di esportazione creato con l'API REST.
4. Specificare dove salvare il file. Fare clic su OK per salvare il file dei certificati.
5. Invia il file JSON dei certificati al fondatore per l'importazione. Fare riferimento alla sezione Importa certificati per aggiungere organizzazioni alla rete.

Importa certificati per aggiungere organizzazioni alla rete

Per aggiungere un'organizzazione alla rete, il fondatore deve importare un file di certificati esportato o preparato dall'organizzazione che desidera entrare nella rete.

È possibile importare certificati per i seguenti tipi di organizzazione.

Type	Descrizione
Organizzazione partecipante a Oracle Blockchain Platform	È possibile importare un'organizzazione partecipante in una rete Oracle Blockchain Platform. Caricare i certificati esportati dalla console dall'organizzazione partecipante e inviati all'utente. Per informazioni sulla creazione di certificati per il caricamento e un elenco degli altri passi che è necessario eseguire per impostare correttamente un'organizzazione partecipante sulla rete, vedere Partecipare agli OSN partecipanti o a quelli a scalabilità orizzontale al servizio di ordinazione del fondatore.
Organizzazione Hyperledger Fabric	È possibile importare un'organizzazione Hyperledger Fabric in una rete Oracle Blockchain Platform. Per caricare correttamente il file dei certificati di un'organizzazione Fabric, è necessario modificare il file dei certificati in modo da sostituire tutte le istanze di \n con il carattere di nuova riga. Vedere Flusso di lavoro tipico per l'adesione di un'organizzazione Fabric a una rete Oracle Blockchain Platform.
Organizzazione certificato terze parti	È possibile importare un'organizzazione che utilizza certificati generati da un server CA di terze parti. Per caricare correttamente il file dei certificati di un'organizzazione di terze parti, è necessario modificare il file dei certificati in modo da sostituire tutte le istanze di \n con il carattere di nuova riga. Vedere Flusso di lavoro tipico per entrare a far parte di un'organizzazione con certificati di terze parti in una rete Oracle Blockchain Platform.

Per importare i certificati è necessario essere amministratori.

1. Andare alla console e selezionare la scheda Network.
2. Nella scheda Rete, fare clic su Aggiungi organizzazioni. Viene visualizzata la pagina Aggiungi organizzazioni.
   Tenere presente che i file esportati dalla console e dalle API REST sono compatibili solo per l'importazione con lo stesso componente. Non è possibile utilizzare correttamente l'API REST per importare un file di esportazione creato con la console. Allo stesso modo, non è possibile utilizzare correttamente la console per importare un file di esportazione creato con l'API REST.
3. Fare clic su Carica certificati organizzazione. Viene visualizzata la finestra di dialogo Caricamento file.
4. Cercare e selezionare il file JSON contenente le informazioni sul certificato per l'organizzazione che si desidera aggiungere alla rete. Di solito questo file è denominato certs.json. Fare clic su Apri.
5. (Facoltativo) Fare clic sull'icona con il segno più (+) per individuare e caricare le informazioni sul certificato di un'altra organizzazione.
6. Fare clic su Aggiungi. Le organizzazioni aggiunte vengono visualizzate nella tabella Organizzazione.
   Prendere nota delle seguenti informazioni per i partecipanti a Oracle Blockchain Platform, Hyperledger Fabric e le organizzazioni di certificati di terze parti. Anche se il fondatore ha caricato le informazioni del certificato, l'organizzazione aggiunta non può utilizzare il servizio di ordinazione per comunicare sulla rete fino a quando non importa le impostazioni del servizio di ordinazione del fondatore. Il fondatore deve esportare le impostazioni del servizio di ordinazione e fornire il file risultante alle organizzazioni di giunzione per l'importazione. Vedere uno degli argomenti seguenti:

   • Per i partecipanti a Oracle Blockchain Platform, vedere Partecipa o esegui lo scale-out delle OSN al servizio di ordinazione del fondatore.
   • Per le organizzazioni Hyperledger Fabric, vedere Preparare l'ambiente Fabric per utilizzare Oracle Blockchain Platform Network.
   • Per le organizzazioni di certificati di terze parti, vedere Preparare l'ambiente di terze parti per l'utilizzo di Oracle Blockchain Platform Network.

Che cos'è una lista di revoca dei certificati?

Utilizzare un elenco di revoca dei certificati (CRL) per facilitare la gestione dei certificati in tutta la rete.

Un CRL è un elenco di certificati digitali che l'autorità di certificazione (CA) emittente ha revocato prima della data di scadenza pianificata e non deve più essere considerata attendibile e utilizzata sulla rete. Ad esempio, è necessario revocare i certificati persi, rubati o compromessi.

Dopo aver utilizzato la funzionalità Gestisci certificati per revocare i certificati per gli utenti, Oracle Blockchain Platform crea la CRL. Per garantire la revoca dei certificati in tutta la rete, è necessario:

• Utilizzare la funzionalità Applica CRL dopo aver unito i pari livello a un canale creato da un altro membro della rete. L'applicazione del CRL impedisce ai client con certificati revocati di accedere al canale. Vedere Applicare il CRL.

Visualizza e gestisce i certificati

Utilizzare la console per visualizzare e gestire i certificati utente nell'istanza e i certificati importati durante la creazione della rete.

1. Andare alla console e selezionare la scheda Network.
2. Nella scheda Rete, individuare l'ID dell'organizzazione e fare clic sul pulsante Altre azioni. Selezionare Gestisci certificati client.
   Tenere presente che la tabella Riepilogo certificati sarà vuota finché non si aggiungono utenti all'istanza. Inoltre, il certificato dell'amministratore non viene visualizzato in questa tabella. In questo modo è possibile impedire la revoca accidentale del certificato dell'amministratore.
   Le organizzazioni con certificati di terze parti o con organizzazione Hyperledger Fabric con certificati revocati non verranno visualizzate in questa tabella. In questi casi, è necessario utilizzare l'interfaccia CLI o l'SDK nativo di Hyperledger Fabric per importare il file dell'elenco di revoca dei certificati (CRL) dell'organizzazione.
   Viene visualizzata la finestra di dialogo Riepilogo certificati con un elenco dei certificati presenti nell'istanza.
3. Se necessario, eseguire uno dei seguenti task:
   • revocare i certificati. Vedere Revocare certificati.
   • Se i certificati sono stati revocati e si sta lavorando in una rete con più membri, utilizzare Applica CRL dopo aver unito i pari livello a un canale creato da un altro membro della rete. L'applicazione del CRL impedisce ai client con certificati revocati di accedere al canale. Vedere Applicare il CRL.

Revocare certificati

Un'organizzazione può revocare i certificati per qualsiasi utente. Per garantire la sicurezza della rete, è necessario revocare i certificati in caso di smarrimento, furto o compromissione.

Per eseguire questo task è necessario essere un amministratore.

1. Andare alla console e selezionare la scheda Network.
2. Nella scheda Rete, individuare l'ID dell'organizzazione e fare clic sul pulsante Altre azioni. Selezionare Gestisci certificati client.
   Viene visualizzata la finestra di dialogo Riepilogo certificati.
3. Nella finestra di dialogo Riepilogo certificati, individuare e selezionare gli ID degli utenti per i quali si desidera revocare i certificati.
4. Fare clic su Revoca e confermare che si desidera revocare definitivamente i certificati per gli utenti selezionati.
   Gli utenti con certificato revocato vengono visualizzati nella tabella e aggiunti al CRL.
5. Se si sta lavorando in una rete con altri membri, per assicurarsi che i certificati revocati vengano eliminati in tutta la rete, è necessario effettuare le operazioni riportate di seguito.
   • Se si lavora in una rete con più membri, applicare la CRL dopo aver unito i pari livello a un canale creato da un altro membro della rete. L'applicazione del CRL impedisce ai client con certificati revocati di accedere al canale. Vedere Applicare il CRL.

Applicare il CRL

Se si lavora in una rete, è necessario applicare la CRL dopo aver unito i pari livello a un canale creato da un altro membro della rete. L'applicazione del CRL impedisce ai membri con certificati revocati di accedere al canale.

Prima di applicare il CRL, è necessario eseguire i task riportati di seguito.

• revocare i certificati. Vedere Revocare certificati

Per eseguire questo task è necessario essere un amministratore.

1. Andare alla console e selezionare la scheda Network.
2. Nella scheda Rete, individuare l'ID dell'organizzazione e fare clic sul pulsante Altre azioni. Selezionare Gestisci certificati client.
   Viene visualizzata la finestra di dialogo Riepilogo certificati.
3. Fare clic sul pulsante Applica CRL e confermare di voler applicare la CRL.