証明書の管理
このトピックでは、証明書をインポートおよびエクスポートしてブロックチェーン・ネットワークを設定する方法や、証明書を管理および取り消す方法など、ネットワークの証明書を管理する方法について説明します。
証明書を管理するための一般的なワークフロー
ネットワークの証明書を管理するための一般的なタスクを次に示します。
ネットワークへの組織の追加
次のタスクを実行するには、管理者である必要があります。
タスク | 説明 | その他の情報入手先 |
---|---|---|
組織の証明書のエクスポートまたは準備 | ネットワークに参加する組織は、証明書ファイルの出力または書込みを行い、ファウンダに渡します。 | |
メンバー証明書のインポート | 創設者は、組織の証明書ファイルをインポートして組織をネットワークに追加します。 | ネットワークに組織を追加するための証明書のインポート |
証明書の表示 | ファウンダは、ネットワークの証明書を表示および管理できます。 | 証明書の表示と管理 |
証明書のエクスポート
ネットワークを作成するには、ファクターおよび参加者組織は、証明書JSONファイルをインポートおよびエクスポートする必要があります。
-
ファウンダが参加者組織をブロックチェーン・ネットワークに追加するには、参加者が証明書ファイルをエクスポートしてファナが使用できるようにする必要があります。ファナは証明書ファイルをアップロードして参加者組織をネットワークに追加します。
-
証明書のエクスポート・ファイルには、admincerts、cacertsおよびtlscacertsが含まれます。
-
ブロックチェーンまたはアプリケーションの開発者のために証明書のエクスポートが必要になることがあります。たとえば、クライアント・アプリケーションではピアまたはローダーとの対話にTLS証明書を必要とします。
Hyperledger Fabricまたはサード・パーティ組織をネットワークに追加するために必要な証明書ファイルの書込みの詳細は、「ネットワークの拡張」を参照してください。
ネットワークに組織を追加するための証明書のインポート
組織をネットワークに追加するには、創設者は、ネットワークに参加する組織によってエクスポートまたは準備された証明書ファイルをインポートする必要があります。
タイプ | 説明 |
---|---|
Oracle Blockchain Platform参加者組織 | 参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。
アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「ファウンダのオーディング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。 |
Hyperledger Fabric組織 | Hyperledger Fabric組織をOracle Blockchain Platformネットワークにインポートできます。Fabric組織の証明書ファイルを正常にアップロードするには、証明書ファイルを変更して、\nのすべてのインスタンスを改行文字で置き換える必要があります。
See Typical Workflow to Join a Fabric Organization to an Oracle Blockchain Platform Network. |
第三者証明書組織 | サードパーティCAサーバーから生成された証明書を使用している組織をインポートできます。サード・パーティ組織の証明書ファイルを正常にアップロードするには、証明書ファイルを変更して、\nのすべてのインスタンスを改行文字で置き換える必要があります。
「第三者証明書を使用する組織をOracle Blockchain Platformネットワークに参加させる一般的なワークフロー」を参照してください。 |
証明書失効リストとは
証明書失効リスト(CRL)を使用すると、ネットワーク全体で証明書を管理しやすくできます。
CRLは、発行元の認証局(CA)が予定された有効期限前に失効させたため、ネットワーク上で信頼および使用できなくなったデジタル証明書のリストです。たとえば、紛失、盗難または漏えいされた証明書は失効させる必要があります。
証明書の管理機能を使用してユーザーの証明書を失効させると、Oracle Blockchain PlatformによってCRLが作成されます。ネットワーク全体で証明書が失効させるには、次を実行する必要があります:
- 別のネットワーク・メンバーによって作成されたチャネルにピアに参加した後、CRLの適用機能を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。
証明書の失効
組織は、ユーザーの証明書を失効させることができます。ネットワークがセキュアなままであることを保証するために、証明書が失われたり、盗まれたり、漏えいされたりした場合に証明書を失効させる必要があります。
CRLの適用
ネットワークで働いている場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、CRLを適用する必要があります。CRLの適用により、失効した証明書を持つメンバーはチャネルにアクセスできなくなります。
-
証明書の失効証明書の失効を参照してください