証明書の管理

証明書を管理するための一般的なワークフロー

ネットワークの証明書を管理するための一般的なタスクを次に示します。

ネットワークへの組織の追加

次のタスクを実行するには、管理者である必要があります。

タスク	説明	その他の情報入手先
組織の証明書のエクスポートまたは準備	ネットワークに参加する組織は、証明書ファイルの出力または書込みを行い、ファウンダに渡します。	証明書のエクスポート組織の第三者証明書ファイルの作成
メンバー証明書のインポート	ファウンダは、組織の証明書ファイルをインポートして組織をネットワークに追加します。	ネットワークに組織を追加するための証明書のインポート
証明書の表示	ファウンダは、ネットワークの証明書を表示および管理できます。	証明書の表示および管理

証明書の失効

次のタスクを実行するには、管理者である必要があります。

タスク	説明	その他の情報入手先
失効させる証明書の決定	システムの証明書を表示して、ネットワークを保護するために失効させる証明書を判別します。	証明書の表示および管理
失効させる証明書の選択	CA内の証明書を失効させます。	証明書の取消
CRLの適用	更新されたCRLを生成して適用し、失効した証明書を持つクライアントがチャネルにアクセスできないようにします。	CRLの適用

証明書のエクスポート

ネットワークを作成するには、ファウンダと参加者組織は、証明書JSONファイルをインポートおよびエクスポートする必要があります。

次の点に注意してください。

ファウンダが参加者組織をブロックチェーン・ネットワークに追加するには、参加者が証明書ファイルをエクスポートしてファウンダが使用できるようにする必要があります。ファウンダは証明書ファイルをアップロードして参加者組織をネットワークに追加します。
証明書のエクスポート・ファイルには、admincerts、cacertsおよびtlscacertsが含まれます。
ブロックチェーン開発者やアプリケーション開発者のために証明書のエクスポートが必要になることがあります。たとえば、クライアント・アプリケーションは、ピアまたはオーダラと対話するためにTLS証明書を必要とします。

Hyperledger Fabricまたは第三者組織をネットワークに追加するために必要な証明書ファイルの書込みの詳細は、「ネットワークの拡張」を参照してください。

コンソールに移動し、「ネットワーク」タブを選択します。
ネットワーク・タブで、組織表に移動し、証明書のエクスポート対象のメンバーを特定してその他のアクション・ボタンをクリックします。
「証明書のエクスポート」をクリックします。
コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、REST APIで作成したエクスポート・ファイルは、コンソールを使用して正常にインポートできないということです。
ファイルを保存する場所を指定します。「OK」をクリックして、証明書ファイルを保存します。
証明書JSONファイルをインポート用に創設者に送信します。Import Certificates to Add Organizations to the Networkを参照してください。

ネットワークに組織を追加するための証明書のインポート

ネットワークに組織を追加するには、創設者は、ネットワークに参加する組織によってエクスポートまたは準備された証明書ファイルをインポートする必要があります。

次の組織タイプの証明書をインポートできます。

タイプ	説明
Oracle Blockchain Platform参加者組織	参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「ファウンダのオーダリング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。

タイプ

説明

Oracle Blockchain Platform参加者組織

参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。

アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「ファウンダのオーダリング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。

証明書をインポートするには、管理者である必要があります。

コンソールに移動し、ネットワーク・タブを選択します。
ネットワーク・タブで、「組織の追加」をクリックします。組織の追加ページが表示されます。
コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、REST APIで作成したエクスポート・ファイルは、コンソールを使用して正常にインポートできないということです。
「組織の証明書のアップロード」をクリックします。ファイルのアップロード・ダイアログが表示されます。
ネットワークに追加する組織の証明書情報が含まれるJSONファイルを特定して選択します。通常、このファイルの名前はcerts.jsonです。「開く」をクリックします
(省略可)プラス(+)アイコンをクリックして別の組織の証明書情報を探してアップロードします。
「追加」をクリックします追加した組織が組織表に表示されます。
Oracle Blockchain Platformの参加者およびHyperledger Fabric組織に関する次の情報に注意してください。ファウンダが証明書情報をアップロードしても、追加された組織は、ファウンダのオーダリング・サービス設定をインポートするまで、オーダリング・サービスを使用してネットワーク上で通信できません。ファウンダは、オーダリング・サービス設定をエクスポートし、結果のファイルを参加組織にインポート用に提供する必要があります。次のいずれかを参照してください。
- Oracle Blockchain Platform参加者の場合は、「ファウンダのオーダリング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。

証明書失効リストとは

証明書失効リスト(CRL)を使用すると、ネットワーク全体で証明書を管理しやすくなります。

CRLは、発行元の認証局(CA)が予定された有効期限前に失効させたデジタル証明書のうち、ネットワーク上で信頼および使用できなくなったデジタル証明書のリストです。たとえば、CRLを使用して、失われた証明書、盗難証明書または侵害された証明書を取り消します。

証明書の管理機能を使用してユーザーの証明書を失効させると、Oracle Blockchain PlatformによってCRLが作成されます。証明書がネットワーク全体で確実に失効させるには、次のタスクが必要です。

別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、CRLの適用機能。CRLを適用すると、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の表示および管理

コンソールを使用して、インスタンス内のユーザー証明書およびネットワークの構築時にインポートした証明書を表示および管理します。

コンソールに移動し、ネットワーク・タブを選択します。
ネットワーク・タブで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
証明書サマリー表は、ユーザーをインスタンスに追加するまで空です。また、管理者の証明書はこの表には表示されません。これは、誤って管理者の証明書を失効させないためです。

第三者証明書を使用する組織および証明書が失効している組織は、この表に表示されない。このような場合、ネイティブHyperledger Fabric CLIまたはSDKを使用して、組織の証明書失効リスト(CRL)ファイルをインポートする必要があります。

証明書のサマリー・ダイアログが表示され、インスタンス内の証明書のリストが表示されます。
必要に応じて、次のいずれかのタスクを実行します:
- 証明書を取り消します。「証明書の失効」を参照してください。
- 証明書を失効させ、複数のメンバーがいるネットワークで働いている場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、「CRLの適用」を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の失効

組織は、ユーザーの証明書を失効させることができます。ネットワークがセキュアなままであることを保証するために、証明書が紛失した、盗難、漏えいされた場合、証明書を失効させる。

このタスクを完了できるのは、管理者のみです。

コンソールに移動し、「ネットワーク」タブをクリックします。
ネットワーク・ページで、組織のIDを探してその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
証明書のサマリー・ダイアログが表示されます。
証明書のサマリー・ダイアログ・ボックスで、証明書を失効させるユーザーのIDを探して選択します。
「失効」をクリックし、選択したユーザーの証明書を完全に失効させることを確定します。
失効した証明書を持つユーザーが表に表示され、CRLに追加されます。
他のメンバーがいるネットワークで作業している場合、ネットワーク全体で失効した証明書がクリーンアップされるようにするには、次の操作を実行する必要があります。
- 複数のメンバーがいるネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、CRLを適用します。CRLを適用すると、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

CRLの適用

ネットワークで働いている場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、CRLを適用する必要があります。CRLの適用により、失効した証明書を持つメンバーはチャネルにアクセスできなくなります。

CRLを適用する前に次のタスクを実行する必要があります:

証明書を取り消します。「証明書の失効」を参照してください

このタスクを実行できるのは、管理者のみです。

コンソールに移動し、ネットワーク・タブを選択します。
ネットワーク・タブで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
証明書のサマリー・ダイアログが表示されます。
「CRLの適用」ボタンをクリックして、CRLを適用することを確認します。