인증서 관리

이 항목에는 블록체인 네트워크를 설정하기 위해 인증서를 임포트 및 익스포트하는 방법, 인증서 관리 및 취소 방법을 비롯하여 네트워크 인증서를 관리하는 방법에 대한 정보가 포함되어 있습니다.

인증서를 관리하는 일반적인 워크플로우

다음은 네트워크 인증서를 관리하는 일반적인 작업입니다.

네트워크에 조직 추가

이러한 작업을 수행하려면 관리자여야 합니다.

태스크	설명	추가 정보
조직의 인증서 익스포트 또는 준비	네트워크에 연결하려는 조직은 인증서 파일을 출력하거나 기록하여 설립자에게 제공합니다.	인증서 익스포트 조직의 타사 인증서 파일 만들기
회원 인증서 가져오기	설립자는 조직의 인증서 파일을 가져와서 조직에 네트워크를 추가합니다.	인증서를 가져와서 네트워크에 조직 추가
인증서 보기	설립자는 네트워크의 인증서를 보고 관리할 수 있습니다.	인증서 보기 및 관리

인증서 철회

이러한 작업을 수행하려면 관리자여야 합니다.

태스크	설명	추가 정보
취소할 인증서 결정	시스템의 인증서를 보고 네트워크 보안을 유지하기 위해 취소할 인증서를 확인합니다.	인증서 보기 및 관리
취소할 인증서를 선택합니다.	CA의 인증서를 취소합니다.	인증서 취소
CRL 적용	취소된 인증서가 있는 클라이언트가 채널에 액세스할 수 없도록 업데이트된 CRL을 생성하고 적용합니다.	CRL 적용

인증서 익스포트

설립자와 참여자 조직은 네트워크를 만들기 위해 인증서 JSON 파일을 가져오고 내보내야 합니다.

다음 정보에 유의하십시오.

• 설립자가 블록체인 네트워크에 참여자 조직을 추가하려면 참가자가 인증서 파일을 내보내서 설립자가 사용할 수 있도록 해야 합니다. 그런 다음 설립자는 인증서 파일을 업로드하여 참여자 조직을 네트워크에 추가합니다.

• 인증서 익스포트 파일에는 admincerts, cacerts 및 tlscacerts가 포함됩니다.

• 블록체인 또는 애플리케이션 개발자를 위해 인증서를 내보내야 할 수도 있습니다. 예를 들어, 클라이언트 응용 프로그램은 피어 또는 주문자와 상호 작용하기 위해 TLS 인증서가 필요합니다.

네트워크에 Hyperledger Fabric 또는 타사 조직을 추가하는 데 필요한 인증서 파일 쓰기에 대한 자세한 내용은 네트워크 확장을 참조하십시오.

1. 콘솔로 이동하여 Network(네트워크) 탭을 선택합니다.
2. 네트워크 탭에서 [조직] 테이블로 이동하여 인증서를 익스포트할 멤버를 찾고 추가 작업 단추를 누릅니다.
3. 인증서 익스포트를 누릅니다.
   콘솔 및 REST API에서 익스포트한 파일은 동일한 구성요소가 있는 임포트에만 호환됩니다. 즉, 콘솔로 생성된 익스포트 파일을 임포트하는 데 REST API를 성공적으로 사용할 수 없습니다. 마찬가지로 콘솔을 사용하여 REST API로 생성된 익스포트 파일을 임포트할 수 없습니다.
4. 파일을 저장할 위치를 지정하십시오. 인증서 파일을 저장하려면 확인을 누릅니다.
5. 인증서 JSON 파일을 가져오기를 위해 설립자에게 보냅니다. Import Certificates to Add Organizations to the Network를 참조하십시오.

인증서를 가져와서 네트워크에 조직 추가

네트워크에 조직을 추가하려면 설립자가 네트워크에 연결하려는 조직에서 내보내거나 준비한 인증서 파일을 가져와야 합니다.

다음 조직 유형에 대한 인증서를 임포트할 수 있습니다.

유형	설명
Oracle Blockchain Platform 참가자 조직	참가자 조직을 Oracle Blockchain Platform 네트워크로 임포트할 수 있습니다. 참가자 조직이 콘솔에서 내보내고 사용자에게 보낸 인증서를 업로드합니다. 업로드할 인증서 생성 및 네트워크에서 참가자 조직을 성공적으로 설정하기 위해 수행해야 하는 기타 단계 목록에 대한 자세한 내용은 참가자 또는 스케일 아웃된 OSN을 설립자의 주문 서비스에 가입을 참조하십시오.

인증서를 임포트하려면 관리자여야 합니다.

1. 콘솔로 이동하여 네트워크 탭을 선택합니다.
2. 네트워크 탭에서 조직 추가를 누릅니다. 조직 추가 페이지가 표시됩니다.
   콘솔 및 REST API에서 익스포트한 파일은 동일한 구성요소가 있는 임포트에만 호환됩니다. 즉, 콘솔로 생성된 익스포트 파일을 임포트하는 데 REST API를 성공적으로 사용할 수 없습니다. 마찬가지로 콘솔을 사용하여 REST API로 생성된 익스포트 파일을 임포트할 수 없습니다.
3. 조직 인증서 업로드를 누릅니다. 파일 업로드 대화상자가 표시됩니다.
4. 네트워크에 추가할 조직의 인증서 정보가 포함된 JSON 파일을 찾아 선택합니다. 일반적으로 이 파일의 이름은 certs.json입니다. 열기를 누릅니다.
5. (선택 사항) 더하기(+) 아이콘을 눌러 다른 조직의 인증서 정보를 찾아 업로드합니다.
6. 추가를 누릅니다. 추가한 조직이 조직 테이블에 표시됩니다.
   Oracle Blockchain Platform 참여자 및 Hyperledger Fabric 조직에 대한 다음 정보를 참고하십시오. 설립자가 인증서 정보를 업로드했지만 추가된 조직은 설립자의 주문 서비스 설정을 가져올 때까지 주문 서비스를 사용하여 네트워크에서 통신할 수 없습니다. 설립자는 주문 서비스 설정을 익스포트하고 임포트할 조인 조직에 결과 파일을 제공해야 합니다. 다음 중 하나를 참조하십시오.

   • Oracle Blockchain Platform 참가자는 설립자의 주문 서비스에 참여자 또는 스케일 아웃된 OSN 가입을 참조하십시오.

인증서 취소 목록이란 무엇입니까?

인증서 해지 목록(CRL)을 사용하여 네트워크 전체에서 인증서를 관리할 수 있습니다.

CRL은 발급 CA(인증 기관)가 일정이 잡힌 만료 날짜 이전에 취소한 디지털 인증서 목록으로, 더 이상 신뢰할 수 없으며 네트워크에서 사용해서는 안됩니다. 예를 들어, CRL을 사용하여 분실, 도난 또는 손상된 인증서를 취소할 수 있습니다.

인증서 관리 기능을 사용하여 사용자에 대한 인증서를 취소하면 Oracle Blockchain Platform에서 CRL을 생성합니다. 네트워크 전체에서 인증서가 취소되도록 하려면 다음 작업을 완료해야 합니다.

• 다른 네트워크 멤버가 생성한 채널에 피어를 조인한 후 CRL을 적용합니다. CRL을 적용하면 해지된 인증서가 있는 클라이언트가 채널에 액세스할 수 없습니다. CRL 적용을 참조하십시오.

인증서 보기 및 관리

콘솔을 사용하여 인스턴스의 사용자 인증서 및 네트워크 구축 시 가져온 인증서를 보고 관리할 수 있습니다.

1. 콘솔로 이동하여 네트워크 탭을 선택합니다.
2. Network(네트워크) 탭에서 조직의 ID를 찾고 More Actions(추가 작업) 버튼을 누릅니다. 클라이언트 인증서 관리를 선택합니다.
   인스턴스에 사용자를 추가할 때까지 Certificate Summary 테이블이 비어 있습니다. 또한 관리자의 인증서가 이 테이블에 표시되지 않습니다. 이것은 실수로 관리자의 인증서를 취소하는 것을 방지하기 위한 것입니다.
   인증서가 취소된 타사 인증서가 있는 조직은 이 테이블에 표시되지 않습니다. 이러한 경우 고유 Hyperledger Fabric CLI 또는 SDK를 사용하여 조직의 CRL(인증서 해지 목록) 파일을 가져와야 합니다.
   Certificates Summary(인증서 요약) 대화 상자가 표시되고 인스턴스의 인증서 목록이 표시됩니다.
3. 필요에 따라 다음 작업 중 하나를 수행합니다.
   • 인증서를 취소합니다. Revoke Certificates를 참조하십시오.
   • 인증서를 해지하고 여러 멤버가 있는 네트워크에서 작업 중인 경우 다른 네트워크 멤버가 만든 채널에 피어를 가입한 후 CRL 적용을 사용합니다. CRL을 적용하면 해지된 인증서가 있는 클라이언트가 채널에 액세스할 수 없습니다. CRL 적용을 참조하십시오.

인증서 취소

조직은 해당 사용자의 인증서를 취소할 수 있습니다. 네트워크가 안전하게 유지되도록 하려면 인증서가 분실, 도난 또는 손상된 경우 인증서를 취소합니다.

이 작업을 완료하려면 관리자여야 합니다.

1. 콘솔로 이동하여 네트워크 탭을 누릅니다.
2. 네트워크 페이지에서 조직의 ID를 찾고 작업 더 보기 버튼을 누릅니다. 클라이언트 인증서 관리를 선택합니다.
   Certificates Summary 대화 상자가 표시됩니다.
3. 인증서 요약 대화 상자에서 인증서를 취소할 사용자의 ID를 찾아 선택합니다.
4. 취소를 누르고 선택한 사용자에 대한 인증서를 영구적으로 취소할지 확인합니다.
   해지된 인증서가 있는 사용자가 테이블에 표시되고 CRL에 추가됩니다.
5. 다른 멤버와 함께 네트워크에서 작업하는 경우 취소된 인증서가 네트워크를 통해 정리되도록 하려면 다음을 수행해야 합니다.
   • 여러 멤버가 있는 네트워크에서 작업하는 경우 다른 네트워크 멤버가 생성한 채널에 피어를 연결한 후 CRL을 적용합니다. CRL을 적용하면 해지된 인증서가 있는 클라이언트가 채널에 액세스할 수 없습니다. CRL 적용을 참조하십시오.

CRL 적용

네트워크에서 작업 중인 경우 다른 네트워크 멤버가 생성한 채널에 피어를 연결한 후 CRL을 적용해야 합니다. CRL을 적용하면 취소된 인증서가 있는 멤버가 채널에 액세스할 수 없습니다.

CRL을 적용하기 전에 다음 태스크를 수행해야 합니다.

• 인증서를 취소합니다. Revoke Certificates를 참조하십시오.

이 작업을 수행하려면 관리자여야 합니다.

1. 콘솔로 이동하여 네트워크 탭을 선택합니다.
2. Network(네트워크) 탭에서 조직의 ID를 찾고 More Actions(추가 작업) 버튼을 누릅니다. 클라이언트 인증서 관리를 선택합니다.
   Certificates Summary 대화 상자가 표시됩니다.
3. Apply CRL 버튼을 누르고 CRL을 적용할지 확인합니다.