管理证书

本主题包含有关如何管理网络证书的信息，包括如何导入和导出证书以设置区块链网络，以及如何管理和撤销证书。

用于管理证书的典型工作流

下面是用于管理网络证书的常见任务。

将组织添加到网络

要执行这些任务，您必须是管理员。

任务	说明	更多信息
导出或准备组织的证书	要加入网络的组织，可以输出或写入其证书文件并将其提供给创建者。	导出证书 创建 Fabric 组织的证书文件 创建组织的第三方证书文件
导入成员证书	创建者导入组织的证书文件以将组织添加到网络。	导入证书以将组织添加到网络
查看证书	创始人可以查看和管理网络的证书。	查看和管理证书

撤销证书

要执行这些任务，您必须是管理员。

任务	说明	更多信息
决定要吊销哪些证书	查看系统上的证书以确定要撤销的证书以保证网络安全。	查看和管理证书
选择要撤销的证书	撤销 CA 中的证书。	撤销证书
应用 CRL	生成并应用更新的 CRL，以确保证书已撤销的客户端无法访问通道。	应用 CRL

导出证书

创始人和参与者组织必须导入和导出证书 JSON 文件才能创建网络。

请注意以下信息：

• 要使创建者将参与者组织添加到区块链网络，参与者必须导出其证书文件并将其提供给创建者。然后，创建者将上载证书文件以将参与者组织添加到网络。

• 证书导出文件包含 admincerts、cacerts 和 tlscacerts。

• 您可能需要为区块链或应用程序开发人员导出证书。例如，客户机应用程序需要 TLS 证书才能与对等节点或排序节点交互。

有关编写将超级账本架构或第三方组织添加到网络所需的证书文件的信息，请参见 Extend the Network 。

1. 转到控制台并选择 "Network" 选项卡。
2. 在“网络”选项卡中，转到“组织”表，找到要为其导出证书的成员，然后单击其更多操作按钮。
3. 单击导出证书。
   请注意，控制台和 REST API 导出的文件仅兼容于使用同一组件进行导入。也就是说，您无法成功使用 REST API 导入使用控制台创建的导出文件。同样，您无法成功使用控制台导入使用 REST API 创建的导出文件。
4. 指定保存文件的位置。单击确定保存证书文件。
5. 将证书 JSON 文件发送到创建者进行导入。请参见 Import Certificates to Add Organizations to the Network 。

导入证书以将组织添加到网络

要将组织添加到网络，创建者必须导入由要加入网络的组织导出或准备的证书文件。

您可以导入以下组织类型的证书。

类型	说明
Oracle Blockchain Platform 参与者组织	您可以将参与者组织导入 Oracle Blockchain Platform 网络。您将上载参与者组织从控制台导出并发送给您的证书。 有关创建要上载的证书以及成功在网络上设置参与者组织所需执行的其他步骤的列表的信息，请参阅加入参与者或横向扩展 OSN 到建立者的订购服务。
Hyperledger Fabric 组织	您可以将超级账本架构组织导入 Oracle Blockchain Platform 网络。要成功上载 Fabric 组织的证书文件，必须修改证书文件以将 \n 的所有实例替换为换行符。 请参见 Typical Workflow to Join a Fabric Organization to an Oracle Blockchain Platform Network 。
第三方证书组织	可以导入使用从第三方 CA 服务器生成的证书的组织。要成功上载第三方组织的证书文件，必须修改证书文件以将 \n 的所有实例替换为换行符。 请参阅将具有第三方证书的组织加入 Oracle Blockchain Platform Network 的典型工作流。

您必须是管理员才能导入证书。

1. 转到控制台并选择 Network 选项卡。
2. 在网络选项卡中，单击添加组织。显示添加组织页。
   请注意，控制台和 REST API 导出的文件仅兼容于使用同一组件进行导入。也就是说，您无法成功使用 REST API 导入使用控制台创建的导出文件。同样，您无法成功使用控制台导入使用 REST API 创建的导出文件。
3. 单击上载组织证书。将显示 File Upload（文件上载）对话框。
4. 浏览并选择 JSON 文件，该文件包含要添加到网络中的组织的证书信息。此文件通常命名为 certs.json。单击打开。
5. （可选）单击加号 (+) 图标以查找和上载其他组织的证书信息。
6. 单击添加。您添加的组织将显示在组织表中。
   请注意 Oracle Blockchain Platform 参与者、Hyperledger Fabric 和第三方证书组织的以下信息。尽管创始人上传了证书信息，但添加的组织在导入创始人的订购服务设置之前，无法使用订购服务在网络上进行通信。创建者必须导出其排序服务设置，并将结果文件提供给加入组织以进行导入。请参阅以下内容之一：

   • 对于 Oracle Blockchain Platform 参与者，请参阅加入参与方或横向扩展 OSN 到创始人的订购服务。
   • 对于超级账本架构组织，请参见 Prepare the Fabric Environment to Use the Oracle Blockchain Platform Network 。
   • 对于第三方证书组织，请参阅准备使用 Oracle Blockchain Platform Network 的第三方环境。

什么是证书撤销列表？

您可以使用证书撤销列表 (Certificate Revocation List，CRL) 来帮助管理整个网络的证书。

CRL 是签发证书颁发机构 (Certificate Authority，CA) 在计划的到期日期之前撤销的数字证书列表，不应再信任这些证书并在网络上使用。例如，您应该撤销已丢失、被盗或泄露的任何证书。

使用“管理证书”功能撤销用户的证书后，Oracle Blockchain Platform 将创建 CRL。为了确保证书在整个网络中被撤销，您需要：

• 将对等点加入到其他网络成员创建的渠道后，使用“应用 CRL”功能。应用 CRL 可阻止具有已撤销证书的客户机访问通道。请参见 Apply the CRL 。

查看和管理证书

使用控制台可以查看和管理实例中的用户证书以及构建网络时导入的任何证书。

1. 转到控制台并选择 Network 选项卡。
2. 在“网络”选项卡中，找到组织的 ID，然后单击其更多操作按钮。选择管理客户证书。
   请注意，“Certificate Summary（证书概要）”表将为空，直到将用户添加到实例。此外，此表中不显示管理员的证书。这是为了防止您意外撤销管理员的证书。
   具有第三方证书或具有已撤销证书的 Hyperledger Fabric 组织的组织不会显示在此表中。在这种情况下，必须使用本机 Hyperledger Fabric CLI 或 SDK 导入组织的证书撤销列表 (Certificate Revocation List，CRL) 文件。
   此时将显示 "Certificates Summary"（证书汇总）对话框，其中显示实例中证书的列表。
3. 如果需要，请执行以下任何任务：
   • 撤销证书。请参见 Revoke Certificates 。
   • 如果您已撤销证书并且正在具有多个成员的网络中工作，则在您将对等节点加入其他网络成员创建的通道后使用应用 CRL。应用 CRL 可阻止具有已撤销证书的客户机访问通道。请参见 Apply the CRL 。

撤销证书

组织可以撤销其任何用户的证书。为了确保网络安全，您应该撤销证书，以防证书丢失、被盗或被盗。

您必须是管理员才能执行此任务。

1. 转到控制台并选择 Network 选项卡。
2. 在“网络”选项卡中，找到组织的 ID，然后单击其更多操作按钮。选择管理客户证书。
   此时将显示 "Certificates Summary"（证书汇总）对话框。
3. 在 "Certificates Summary"（证书汇总）对话框中，找到并选择要为其撤销证书的用户的 ID。
4. 单击“撤销”并确认要永久撤销所选用户的证书。
   具有已撤销证书的用户将显示在表中并添加到 CRL 中。
5. 如果您与其他成员一起在网络中工作，则为了确保在网络中清除其撤销的证书，您必须执行以下操作：
   • 如果您在具有多个成员的网络中工作，则在您将对等节点加入另一个网络成员创建的通道后应用 CRL。应用 CRL 可阻止具有已撤销证书的客户机访问通道。请参见 Apply the CRL 。

应用 CRL

如果您在网络中工作，则在您将对等点加入另一个网络成员创建的渠道后，必须应用 CRL。应用 CRL 可阻止具有已撤销证书的成员访问通道。

在应用 CRL 之前，必须执行以下任务：

• 撤销证书。请参见 Revoke Certificates

您必须是管理员才能执行此任务。

1. 转到控制台并选择 Network 选项卡。
2. 在“网络”选项卡中，找到组织的 ID，然后单击其更多操作按钮。选择管理客户证书。
   此时将显示 "Certificates Summary"（证书汇总）对话框。
3. 单击 "Apply CRL" 按钮并确认要应用 CRL。