管理证书

本主题包含有关如何管理网络证书的信息，包括如何导入和导出证书以设置区块链网络，以及如何管理和撤销证书。

管理证书的典型工作流

以下是管理网络证书的常见任务。

将组织添加到网络

您必须是管理员才能执行这些任务。

任务	说明	更多信息
导出或准备组织的证书	想要加入网络的组织输出或写入其证书文件并将其提供给创建者。	导出证明 创建组织的第三方证书文件
导入成员证书	创始人导入组织的证书文件以将组织添加到网络。	导入证书以将组织添加到网络
查看证明	创始人可以查看和管理网络的证书。	查看和管理证书

撤消证书

您必须是管理员才能执行这些任务。

任务	说明	更多信息
决定要撤销哪些证书	查看系统上的证书以确定要撤销哪些证书以保证网络安全。	查看和管理证书
选择要撤销的证书	撤销 CA 中的证书。	撤消证书
应用 CRL	生成并应用更新的 CRL 以确保具有已撤销证书的客户机无法访问通道。	应用 CRL

导出证明

创始人和参与者组织必须导入和导出证书 JSON 文件才能创建网络。

请注意以下信息：

• 要使创始人将参与者组织添加到区块链网络，参与者必须导出其证书文件并使其可供创始人使用。然后，创建者上载证书文件以将参与者组织添加到网络。

• 证书导出文件包含 admincerts、cacerts 和 tlscacerts。

• 您可能需要为区块链或应用程序开发人员导出证书。例如，客户机应用程序需要 TLS 证书才能与对等节点或排序节点进行交互。

有关将 Hyperledger Fabric 或第三方组织添加到网络所需的证书文件写入的信息，请参见 Extend the Network 。

1. 转到控制台并选择 "Network"（网络）选项卡。
2. 在“网络”选项卡中，转至“组织”表，找到要为其导出证书的成员，然后单击其更多操作按钮。
3. 单击导出证书。
   请注意，控制台和 REST API 导出的文件仅与具有相同组件的导入兼容。也就是说，您无法成功使用 REST API 导入通过控制台创建的导出文件。同样，您无法成功使用控制台导入使用 REST API 创建的导出文件。
4. 指定用于保存文件的位置。单击确定以保存证书文件。
5. 将证书 JSON 文件发送到创建者进行导入。请参阅导入证书以将组织添加到网络。

导入证书以将组织添加到网络

要将组织添加到网络，创始人必须导入由想要加入网络的组织导出或准备的证书文件。

您可以为以下组织类型导入证书。

类型	说明
Oracle Blockchain Platform 参与者组织	您可以将参与者组织导入到 Oracle Blockchain Platform 网络中。您可以上载参与者组织从控制台导出并发送给您的证书。 有关创建要上载的证书的信息以及成功设置网络上的参与者组织所需的其他步骤的列表，请参见 Join the Participant or Scaled-Out OSNs to the Founder's Ordering Service 。

您必须是管理员才能导入证书。

1. 转到控制台并选择网络选项卡。
2. 在网络选项卡中，单击添加组织。此时将显示 Add Organizations（添加组织）页面。
   请注意，控制台和 REST API 导出的文件仅与具有相同组件的导入兼容。也就是说，您无法成功使用 REST API 导入通过控制台创建的导出文件。同样，您无法成功使用控制台导入使用 REST API 创建的导出文件。
3. 单击上载组织证书。此时将显示文件上载对话框。
4. 浏览并选择包含要添加到网络的组织的证书信息的 JSON 文件。此文件通常名为 certs.json。单击打开。
5. （可选）单击加号 (+) 图标以查找并上载其他组织的证书信息。
6. 单击添加。您添加的组织将显示在组织表中。
   请注意 Oracle Blockchain Platform 参与者和超级账本架构组织的以下信息。尽管创始人上传了证书信息，但添加的组织不能使用排序服务在网络上进行通信，直到它导入创始人的排序服务设置。创始人必须导出其订购服务设置，并将结果文件提供给加入组织进行导入。请参阅以下内容之一：

   • 对于 Oracle Blockchain Platform 参与者，请参阅加入参与者或将 OSN 扩展到创始人的订购服务。

什么是证书撤销列表？

您可以使用证书撤销列表 (certificate revocation list，CRL) 来帮助管理整个网络的证书。

CRL 是签发证书颁发机构 (Certificate Authority，CA) 在安排的到期日期之前吊销的数字证书列表，不能再信任该证书并在网络中使用。例如，您使用 CRL 来撤销丢失、被盗或被盗的证书。

使用“管理证书”功能为用户撤销证书后，Oracle Blockchain Platform 将创建 CRL。为了确保证书在整个网络中被撤销，您需要完成以下任务：

• 将对等节点加入到其他网络成员创建的通道后，应用 CRL。应用 CRL 可防止具有已撤销证书的客户机访问该通道。请参见 Apply the CRL 。

查看和管理证书

使用控制台查看和管理实例中的用户证书以及构建网络时导入的任何证书。

1. 转到控制台并选择网络选项卡。
2. 在 "Network"（网络）选项卡中，找到组织的 ID 并单击其 More Actions（更多操作）按钮。选择管理客户端证书。
   请注意，在将用户添加到实例之前，“Certificate Summary（证书概要）”表将为空。此外，管理员的证书不显示在此表中。这是为了防止您意外撤销管理员的证书。
   此表中不会显示具有已撤销证书的第三方证书的组织。在这种情况下，必须使用本机 Hyperledger Fabric CLI 或 SDK 导入组织的证书撤销列表 (certificate revocation list，CRL) 文件。
   此时将显示 "Certificates Summary"（证书汇总）对话框，并显示实例中证书的列表。
3. 根据需要，请执行下列任一任务：
   • 取消证书。请参见 Revoke Certificates 。
   • 如果您已撤销证书并且正在具有多个成员的网络中工作，则在将对等节点加入到由其他网络成员创建的通道后，请使用 "Apply CRL"（应用 CRL）。应用 CRL 会阻止具有已撤销证书的客户机访问通道。请参见 Apply the CRL 。

撤销证书

组织可以撤销其任何用户的证书。为了确保网络保持安全，请在证书丢失、被盗或被泄露时撤销证书。

您必须是管理员才能完成此任务。

1. 转到控制台并单击网络选项卡。
2. 在“网络”页面上，找到组织的 ID 并单击其更多操作按钮。选择管理客户端证书。
   此时将显示 "Certificates Summary"（证书汇总）对话框。
3. 在 Certificates Summary 对话框中，找到并选择要为其撤销证书的用户的 ID。
4. 单击撤销并确认要永久撤销所选用户的证书。
   证书已撤销的用户将显示在表中，并添加到 CRL 中。
5. 如果您与其他成员在网络中工作，则为了确保在网络中清除他们撤销的证书，您必须执行以下操作：
   • 如果您在具有多个成员的网络中工作，则在将对等节点加入到由其他网络成员创建的通道后，应用 CRL。应用 CRL 会阻止具有已撤销证书的客户机访问该通道。请参见 Apply the CRL 。

应用 CRL

如果您在网络中工作，则必须在将对等节点加入到由其他网络成员创建的通道后应用 CRL。应用 CRL 会阻止具有已撤销证书的成员访问通道。

在应用 CRL 之前，您必须执行以下任务：

• 取消证书。请参见 Revoke Certificates

您必须是管理员才能执行此任务。

1. 转到控制台并选择网络选项卡。
2. 在 "Network"（网络）选项卡中，找到组织的 ID 并单击其 More Actions（更多操作）按钮。选择管理客户端证书。
   此时将显示 "Certificates Summary"（证书汇总）对话框。
3. 单击 "Apply CRL"（应用 CRL）按钮并确认要应用 CRL。