証明書の管理

証明書を管理するための一般的なワークフロー

ネットワークの証明書を管理するための一般的なタスクを次に示します。

ネットワークへの組織の追加

これらのタスクを実行するには、管理者である必要があります。

タスク	説明	その他の情報入手先
組織の証明書のエクスポートまたは準備	ネットワークに参加する組織は、証明書ファイルの出力または書込みを行い、ファウンダに渡します。	証明書のエクスポート組織の第三者証明書ファイルの作成
メンバー証明書のインポート	ファウンダは、組織の証明書ファイルをインポートして組織をネットワークに追加します。	組織をネットワークに追加するための証明書のインポート
証明書の表示	ファウンダは、ネットワークの証明書を表示および管理できます。	証明書の表示および管理

証明書の失効

これらのタスクを実行するには、管理者である必要があります。

タスク	説明	その他の情報入手先
失効させる証明書の決定	システムの証明書を表示して、ネットワークの安全を保つために取り消す証明書を判別します。	証明書の表示および管理
失効させる証明書の選択	CA内の証明書を失効させます。	証明書の取消し
CRLの適用	更新されたCRLを生成して適用し、失効した証明書を持つクライアントがチャネルにアクセスできないようにします。	CRLの適用

証明書のエクスポート

ネットワークを作成するには、ファウンダと参加者組織は、証明書JSONファイルをインポートおよびエクスポートする必要があります。

次の点に注意してください。

ファウンダが参加者組織をブロックチェーン・ネットワークに追加するためには、参加者が証明書ファイルをエクスポートしてファウンタが使用できるようにする必要があります。ファウンダは証明書ファイルをアップロードして参加者組織をネットワークに追加します。
証明書のエクスポート・ファイルには、admincerts、cacertsおよびtlscacertsが含まれます。
ブロックチェーンやアプリケーション開発者用に証明書をエクスポートすることが必要になる場合があります。たとえば、クライアント・アプリケーションでは、ピアまたはオーダラのやり取りにTLS証明書を必要としています。

Hyperledger Fabricまたは第三者組織をネットワークに追加するために必要な証明書ファイルの書込みの詳細は、「ネットワークの拡張」を参照してください。

コンソールに移動し、ネットワーク・タブを選択します。
ネットワーク・タブで、「組織」表に移動し、証明書をエクスポートするメンバーを探して、そのその他のアクション・ボタンをクリックします。
「証明書のエクスポート」をクリックします。
コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、コンソールを使用して正常にREST APIで作成されたエクスポート・ファイルをインポートすることはできません。
ファイルを保存する場所を指定します。「OK」をクリックして、証明書ファイルを保存します。
証明書JSONファイルをインポート用にファウンダに送信します。「ネットワークに組織を追加するための証明書のインポート」を参照してください。

組織をネットワークに追加するための証明書のインポート

組織をネットワークに追加するには、ファウンダは、ネットワークに参加する組織によってエクスポートまたは準備された証明書ファイルをインポートする必要があります。

次の組織タイプの証明書をインポートできます。

入力してください	説明
Oracle Blockchain Platform参加者組織	参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「ファウンダのオーダリング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。

入力してください

説明

Oracle Blockchain Platform参加者組織

参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。

アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「ファウンダのオーダリング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。

証明書をインポートするには、管理者である必要があります。

コンソールに移動し、ネットワーク・タブを選択します。
ネットワーク・タブで、「組織の追加」をクリックします。組織の追加ページが表示されます。
コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、コンソールを使用してREST APIで作成したエクスポート・ファイルをインポートすることはできません。
「組織の証明書のアップロード」をクリックします。ファイルのアップロード・ダイアログが表示されます。
ネットワークに追加する組織の証明書情報が含まれるJSONファイルを特定して選択します。通常、このファイルの名前はcerts.jsonです。「開く」をクリックします
(オプション)プラス(+)アイコンをクリックして別の組織の証明書情報を探してアップロードします。
「追加」をクリックします追加した組織が組織表に表示されます。
Oracle Blockchain Platformの参加者およびHyperledger Fabric組織に関する次の情報に注意してください。ファウンダが証明書情報をアップロードしても、追加された組織は、ファウンダのオーダリング・サービス設定をインポートするまで、オーダリング・サービスを使用してネットワーク上で通信できません。ファウンダは、オーダリング・サービス設定をエクスポートし、結果のファイルを参加組織にインポート用に提供する必要があります。次のいずれかを参照してください。
- Oracle Blockchain Platform参加者の場合は、「ファウンダのオーダリング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。

証明書失効リストとは

証明書失効リスト(CRL)を使用すると、ネットワーク全体で証明書を管理しやすくなります。

CRLは、発行元の認証局(CA)が予定された有効期限前に失効させたために、ネットワーク上で信頼および使用できなくなったデジタル証明書のリストです。たとえば、CRLを使用して、紛失、盗難または漏洩した証明書を取り消します。

証明書の管理機能を使用してユーザーの証明書を失効させると、Oracle Blockchain PlatformによってCRLが作成されます。証明書がネットワーク全体で確実に失効するようにするには、次のタスクを完了する必要があります:

別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、CRLの適用機能。CRLの適用によって、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の表示および管理

コンソールを使用して、インスタンス内のユーザー証明書と、ネットワークの構築時にインポートした任意の証明書を表示および管理します。

コンソールに移動し、ネットワーク・タブを選択します。
ネットワーク・タブで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
インスタンスにユーザーを追加するまで、証明書のサマリー表は空であることに注意してください。また、管理者の証明書はこの表には表示されません。これは、管理者の証明書を誤って失効させないためです。

第三者証明書を使用する組織および証明書が失効している組織は、この表に表示されない。このような場合、ネイティブHyperledger Fabric CLIまたはSDKを使用して、組織の証明書失効リスト(CRL)ファイルをインポートする必要があります。

証明書のサマリー・ダイアログが表示され、インスタンス内の証明書のリストが表示されます。
必要に応じて、次のいずれかのタスクを実行します。
- 証明書を取り消します。「証明書の失効」を参照してください。
- 証明書を失効させ、複数のメンバーが一緒にいるネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させる後、「CRLの適用」を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の取消し

組織は、ユーザーの証明書を失効させることができます。ネットワークがセキュアなままであることを保証するために、証明書が紛失し、盗難、漏えいされた場合、証明書を失効させるようにする必要があります。

このタスクを完了できるのは、管理者のみです。

コンソールに移動し、「ネットワーク」タブをクリックします。
ネットワーク・ページで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
証明書のサマリー・ダイアログが表示されます。
証明書のサマリー・ダイアログ・ボックスで、証明書を失効させるユーザーのIDを探して選択します。
「失効」をクリックし、選択したユーザーの証明書を完全に失効させることを確認します。
失効した証明書を持つユーザーが表に表示され、CRLに追加されます。
他のメンバーがいるネットワークで作業している場合、失効した証明書がネットワーク全体でクリーンアップされるようにするには、次の操作を行う必要があります:
- 複数のメンバーがいるネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させた後、CRLを適用します。CRLの適用によって、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

CRLの適用

ネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてからCRLを適用する必要があります。CRLの適用により、失効した証明書を持つメンバーはチャネルにアクセスできなくなります。

CRLを適用する前に、次のタスクを実行する必要があります。

証明書を取り消します。「証明書の失効」を参照してください

このタスクを実行できるのは、管理者のみです。

コンソールに移動し、ネットワーク・タブを選択します。
ネットワーク・タブで、組織のIDを特定し、そのその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
証明書のサマリー・ダイアログが表示されます。
CRLの適用ボタンをクリックし、CRLを適用することを確認します。