証明書の管理

このトピックでは、証明書をインポートおよびエクスポートしてブロックチェーン・ネットワークを設定する方法や、証明書を管理および取り消す方法など、ネットワークの証明書を管理する方法について説明します。

証明書を管理するための一般的なワークフロー

ネットワークの証明書を管理するための一般的なタスクを次に示します。

ネットワークへの組織の追加

次のタスクを実行するには、管理者である必要があります。

タスク	説明	その他の情報入手先
組織の証明書のエクスポートまたは準備	ネットワークに参加する組織は、証明書ファイルの出力または書込みを行い、ファウンダに渡します。	証明書をエクスポート Fabric組織の証明書ファイルの作成 組織の第三者証明書ファイルの作成
メンバー証明書のインポート	創設者は、組織の証明書ファイルをインポートして組織をネットワークに追加します。	ネットワークに組織を追加するための証明書のインポート
証明書の表示	ファウンダは、ネットワークの証明書を表示および管理できます。	証明書の表示と管理

証明書の失効

次のタスクを実行するには、管理者である必要があります。

タスク	説明	その他の情報入手先
失効させる証明書の決定	システムの証明書を表示して、ネットワークを保護するために失効させる証明書を判別します。	証明書の表示と管理
失効させる証明書の選択	CA内の証明書を失効させます。	証明書の失効
CRLの適用	更新されたCRLを生成して適用し、失効した証明書を持つクライアントがチャネルにアクセスできないようにします。	CRLの適用

証明書のエクスポート

ネットワークを作成するには、ファクターおよび参加者組織は、証明書JSONファイルをインポートおよびエクスポートする必要があります。

次の点に注意してください。

• ファウンダが参加者組織をブロックチェーン・ネットワークに追加するには、参加者が証明書ファイルをエクスポートしてファナが使用できるようにする必要があります。ファナは証明書ファイルをアップロードして参加者組織をネットワークに追加します。

• 証明書のエクスポート・ファイルには、admincerts、cacertsおよびtlscacertsが含まれます。

• ブロックチェーンまたはアプリケーションの開発者のために証明書のエクスポートが必要になることがあります。たとえば、クライアント・アプリケーションではピアまたはローダーとの対話にTLS証明書を必要とします。

Hyperledger Fabricまたはサード・パーティ組織をネットワークに追加するために必要な証明書ファイルの書込みの詳細は、「ネットワークの拡張」を参照してください。

1. コンソールに移動し、ネットワーク・タブを選択します。
2. ネットワーク・タブで、組織表に移動し、証明書をエクスポートするメンバーを特定してその他のアクション・ボタンをクリックします。
3. 「証明書のエクスポート」をクリックします。
   コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、REST APIで作成したエクスポート・ファイルは、コンソールを使用して正常にインポートできないということです。
4. ファイルを保存する場所を指定します。「OK」をクリックして、証明書ファイルを保存します。
5. 証明書JSONファイルをインポート用にファウンダに送信します。ネットワークに組織を追加するための証明書のインポートを参照してください。

ネットワークに組織を追加するための証明書のインポート

組織をネットワークに追加するには、創設者は、ネットワークに参加する組織によってエクスポートまたは準備された証明書ファイルをインポートする必要があります。

次の組織タイプの証明書をインポートできます。

タイプ	説明
Oracle Blockchain Platform参加者組織	参加者組織をOracle Blockchain Platformネットワークにインポートできます。参加者組織がコンソールからエクスポートして送信した証明書をアップロードします。 アップロード用の証明書の作成に関する情報、およびネットワーク上で参加者組織を正常に設定するために実行する必要がある他のステップのリストについては、「ファウンダのオーディング・サービスへの参加者またはスケールアウトされたOSNの参加」を参照してください。
Hyperledger Fabric組織	Hyperledger Fabric組織をOracle Blockchain Platformネットワークにインポートできます。Fabric組織の証明書ファイルを正常にアップロードするには、証明書ファイルを変更して、\nのすべてのインスタンスを改行文字で置き換える必要があります。 See Typical Workflow to Join a Fabric Organization to an Oracle Blockchain Platform Network.
第三者証明書組織	サードパーティCAサーバーから生成された証明書を使用している組織をインポートできます。サード・パーティ組織の証明書ファイルを正常にアップロードするには、証明書ファイルを変更して、\nのすべてのインスタンスを改行文字で置き換える必要があります。 「第三者証明書を使用する組織をOracle Blockchain Platformネットワークに参加させる一般的なワークフロー」を参照してください。

証明書をインポートするには、管理者である必要があります。

1. コンソールに移動し、ネットワーク・タブを選択します。
2. ネットワーク・タブで、「組織の追加」をクリックします。組織の追加ページが表示されます。
   コンソールおよびREST APIによってエクスポートされたファイルは、同じコンポーネントによるインポートに対してのみ互換性があることに注意してください。つまり、コンソールで作成したエクスポート・ファイルは、REST APIを使用して正常にインポートできないということです。同様に、REST APIで作成したエクスポート・ファイルは、コンソールを使用して正常にインポートできないということです。
3. 「組織の証明書のアップロード」をクリックします。ファイルのアップロード・ダイアログが表示されます。
4. ネットワークに追加する組織の証明書情報が含まれるJSONファイルを特定して選択します。通常、このファイルの名前はcerts.jsonです。「Open」をクリックします。
5. (オプション)プラス(+)アイコンをクリックして別の組織の証明書情報を探してアップロードします。
6. 「追加」をクリックします追加した組織が組織表に表示されます。
   Note the following information for Oracle Blockchain Platform participant, Hyperledger Fabric, and third-party certificate organizations.創業者が証明書情報をアップロードしても、追加された組織は、創業者の順序付けサービス設定をインポートするまで、ネットワークでの通信に順序付けサービスを使用することはできません。ファウンダは、オーダリング・サービス設定をエクスポートし、結果のファイルを参加組織にインポート用に提供する必要があります。次を参照してください:

   • For Oracle Blockchain Platform participants, see Join the Participant or Scaled-Out OSNs to the Founder's Ordering Service.
   • For Hyperledger Fabric organizations, see Prepare the Fabric Environment to Use the Oracle Blockchain Platform Network.
   • 第三者証明書組織の場合は、「Oracle Blockchain Platformネットワークを使用するための第三者環境の準備」を参照してください。

証明書失効リストとは

証明書失効リスト(CRL)を使用すると、ネットワーク全体で証明書を管理しやすくできます。

CRLは、発行元の認証局(CA)が予定された有効期限前に失効させたため、ネットワーク上で信頼および使用できなくなったデジタル証明書のリストです。たとえば、紛失、盗難または漏えいされた証明書は失効させる必要があります。

証明書の管理機能を使用してユーザーの証明書を失効させると、Oracle Blockchain PlatformによってCRLが作成されます。ネットワーク全体で証明書が失効させるには、次を実行する必要があります:

• 別のネットワーク・メンバーによって作成されたチャネルにピアに参加した後、CRLの適用機能を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の表示と管理

コンソールを使用して、インスタンス内のユーザー証明書およびネットワークのビルド時にインポートした証明書を表示および管理します。

1. コンソールに移動し、ネットワーク・タブを選択します。
2. ネットワーク・タブで、組織のIDを探してその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
   証明書サマリー表は、ユーザーをインスタンスに追加するまで空です。また、管理者の証明書はこの表には表示されません。これは、管理者の証明書を誤って失効させないためです。
   サード・パーティ証明書を使用する組織または証明書が失効しているHyperledger Fabric組織は、この表に表示されません。このような場合、ネイティブHyperledger Fabric CLIまたはSDKを使用して、組織の証明書失効リスト(CRL)ファイルをインポートする必要があります。
   証明書のサマリー・ダイアログが表示され、インスタンス内の証明書のリストが表示されます。
3. 必要に応じて、次のいずれかのタスクを実行します。
   • 証明書の失効証明書の失効を参照してください。
   • 証明書を失効させ、複数のメンバーがいるネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、「CRLの適用」を使用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

証明書の失効

組織は、ユーザーの証明書を失効させることができます。ネットワークがセキュアなままであることを保証するために、証明書が失われたり、盗まれたり、漏えいされたりした場合に証明書を失効させる必要があります。

このタスクを実行できるのは、管理者のみです。

1. コンソールに移動し、ネットワーク・タブを選択します。
2. ネットワーク・タブで、組織のIDを探してその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
   証明書のサマリー・ダイアログが表示されます。
3. 証明書のサマリー・ダイアログで、証明書を失効させるユーザーのIDを探して選択します。
4. 「失効」をクリックし、選択したユーザーの証明書を完全に失効させることを確定します。
   失効した証明書を持つユーザーが表に表示され、CRLに追加されます。
5. 他のメンバーがいるネットワークで作業している場合、ネットワーク全体で失効した証明書がクリーンアップされるようにするには、次の操作を実行する必要があります:
   • 複数のメンバーがいるネットワークで作業している場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、CRLを適用します。CRLの適用により、失効した証明書を持つクライアントはチャネルにアクセスできなくなります。「CRLの適用」を参照してください。

CRLの適用

ネットワークで働いている場合は、別のネットワーク・メンバーによって作成されたチャネルにピアを参加させてから、CRLを適用する必要があります。CRLの適用により、失効した証明書を持つメンバーはチャネルにアクセスできなくなります。

CRLを適用する前に次のタスクを実行する必要があります:

• 証明書の失効証明書の失効を参照してください

このタスクを実行できるのは、管理者のみです。

1. コンソールに移動し、ネットワーク・タブを選択します。
2. ネットワーク・タブで、組織のIDを探してその他のアクション・ボタンをクリックします。「クライアント証明書の管理」を選択します。
   証明書のサマリー・ダイアログが表示されます。
3. CRLの適用ボタンをクリックします。