管理证书

本主题包含有关如何管理网络证书的信息,包括如何导入和导出证书以设置区块链网络,以及如何管理和撤销证书。

管理证书的典型工作流

以下是管理网络证书的常见任务。

将组织添加到网络

必须是管理员才能执行这些任务。

任务 说明 更多信息
导出或准备组织的证书 想要加入网络的组织输出或写入其证书文件并将其提供给创建者。

导出证书

创建网状结构网络组织的证书文件

创建组织的第三方证书文件

导入成员证书 创建者导入组织的证书文件以将组织添加到网络。 导入证书以将组织添加到网络
查看证书 创始人可以查看和管理网络的证书。 查看和管理证书

撤销证书

必须是管理员才能执行这些任务。

任务 说明 更多信息
决定要吊销哪些证书 查看系统上的证书以确定要撤销的证书以保持网络安全。 查看和管理证书
选择要撤销的证书 撤消 CA 中的证书。 撤销证书
应用 CRL 生成并应用更新的 CRL,以确保具有已撤销证书的客户端无法访问通道。 应用 CRL

导出证书

创始人和参与者组织必须导入和导出证书 JSON 文件以创建网络。

请注意以下信息:
  • 要使创建者将参与者组织添加到区块链网络,参与者必须导出其证书文件并将其提供给创建者。然后,创建者上载证书文件以将参与者组织添加到网络。

  • 证书导出文件包含 admincerts、cacerts 和 tlscacerts。

  • 您可能需要为区块链或应用程序开发人员导出证书。例如,客户机应用程序需要 TLS 证书才能与对等节点或排序节点进行交互。

有关写入将超级账本架构或第三方组织添加到网络所需的证书文件的信息,请参见 Extend the Network

  1. 转到控制台并选择 "Network" 选项卡。
  2. 在“网络”选项卡中,转到“组织”表,找到要为其导出证书的成员,然后单击其更多操作按钮。
  3. 单击导出证书
    请注意,控制台和 REST API 导出的文件仅兼容于同一组件的导入。也就是说,您无法成功使用 REST API 导入通过控制台创建的导出文件。同样,您无法成功使用控制台导入使用 REST API 创建的导出文件。
  4. 指定保存文件的位置。单击确定保存证书文件。
  5. 将证书 JSON 文件发送给创建者进行导入。请参阅导入证书以将组织添加到网络

导入证书以将组织添加到网络

要将组织添加到网络中,创建者必须导入由希望加入网络的组织导出或准备的证书文件。

您可以导入以下组织类型的证书。
类型 说明
Oracle Blockchain Platform 参与者组织 您可以将参与者组织导入到 Oracle Blockchain Platform 网络中。上载参与者组织从控制台导出并发送给您的证书。

有关创建用于上载的证书以及成功在网络上设置参与者组织所需执行的其他步骤的列表的信息,请参阅加入参与者或向外扩展 OSN 到创始人的订购服务

Hyperledger Fabric 组织 您可以将 Hyperledger Fabric 组织导入到 Oracle Blockchain Platform 网络中。要成功上载网状结构网络组织的证书文件,必须修改证书文件以将 \n 的所有实例替换为换行符。

请参见 Typical Workflow to Join a Fabric Organization to an Oracle Blockchain Platform Network

第三方证书组织 可以导入使用从第三方 CA 服务器生成的证书的组织。要成功上载第三方组织的证书文件,必须修改证书文件以将 \n 的所有实例替换为换行符。

请参阅将具有第三方证书的组织加入到 Oracle Blockchain Platform 网络的典型工作流

您必须是管理员才能导入证书。
  1. 转到控制台,然后选择 Network 选项卡。
  2. 网络选项卡中,单击添加组织。显示添加组织页。
    请注意,控制台和 REST API 导出的文件仅兼容于同一组件的导入。也就是说,您无法成功使用 REST API 导入通过控制台创建的导出文件。同样,您无法成功使用控制台导入使用 REST API 创建的导出文件。
  3. 单击上载组织证书。将显示文件上载对话框。
  4. 浏览并选择包含要添加到网络的组织的证书信息的 JSON 文件。通常,此文件名为 certs.json。单击打开
  5. (可选)单击加号 (+) 图标以查找和上载其他组织的证书信息。
  6. 单击添加。您添加的组织将显示在组织表中。
    请注意 Oracle Blockchain Platform 参与者、Hyperledger Fabric 和第三方证书组织的以下信息。尽管创始人上传了证书信息,但添加的组织在导入创始人的订购服务设置之前,无法使用订购服务在网络上进行通信。创始人必须导出其订购服务设置,并将结果文件提供给加入组织进行导入。请参阅以下内容之一:

什么是证书撤销列表?

您可以使用证书撤销列表 (certificate revocation list,CRL) 来帮助管理整个网络的证书。

CRL 是颁发证书颁发机构 (Certificate Authority,CA) 在其计划到期日期之前已撤销的数字证书列表,不应再受信任并在网络上使用。例如,应撤销已丢失、被盗或受损的任何证书。

使用“管理证书”功能撤销用户的证书后,Oracle Blockchain Platform 将创建 CRL。为了确保证书在整个网络中被撤销,您需要:

  • 将对等连接至由其他网络成员创建的渠道后,使用“Apply CRL(应用 CRL)”功能。应用 CRL 阻止具有已撤销证书的客户机访问通道。请参见 Apply the CRL

查看和管理证书

使用控制台查看和管理实例中的用户证书以及在构建网络时导入的任何证书。

  1. 转到控制台,然后选择 Network 选项卡。
  2. 在“网络”选项卡中,找到组织的 ID,然后单击其更多操作按钮。选择管理客户端证书
    请注意,在将用户添加到实例之前,“Certificate Summary(证书概要)”表将为空。此外,管理员的证书不会显示在此表中。这是为了防止您意外撤销管理员的证书。
    具有第三方证书的组织或具有已撤消证书的 Hyperledger Fabric 组织不会显示在此表中。在这种情况下,您必须使用本机超级账本架构 CLI 或 SDK 导入组织的证书撤销列表 (certificate revocation list,CRL) 文件。
    此时将显示 "Certificates Summary"(证书汇总)对话框,并显示实例中的证书列表。
  3. 根据需要,执行以下任何任务:
    • 撤销证书。请参见 Revoke Certificates
    • 如果您已撤销证书并在具有多个成员的网络中工作,则在将对等节点加入到由其他网络成员创建的渠道后,请使用应用 CRL。应用 CRL 阻止具有已撤销证书的客户机访问通道。请参见 Apply the CRL

撤销证书

组织可以撤消其任何用户的证书。为了确保网络保持安全,您应该撤销证书,以防它们丢失、被盗或损坏。

您必须是管理员才能执行此任务。
  1. 转到控制台,然后选择 Network 选项卡。
  2. 在“网络”选项卡中,找到组织的 ID,然后单击其更多操作按钮。选择管理客户端证书
    此时将显示 "Certificates Summary"(证书汇总)对话框。
  3. 在 "Certificates Summary"(证书汇总)对话框中,找到并选择要为其撤消证书的用户的 ID。
  4. 单击“撤销”并确认您要永久撤销所选用户的证书。
    具有已撤消证书的用户将显示在表中并添加到 CRL 中。
  5. 如果您正在与其他成员在网络中工作,那么为了确保通过网络清除其已撤销的证书,您必须执行以下操作:
    • 如果您使用具有多个成员的网络,则在将对等连接至由其他网络成员创建的渠道后应用 CRL。应用 CRL 阻止具有已撤销证书的客户机访问通道。请参见 Apply the CRL

应用 CRL

如果您在网络中工作,则必须将对等连接至由其他网络成员创建的渠道后应用 CRL。应用 CRL 阻止具有已撤销证书的成员访问通道。

在应用 CRL 之前,必须执行以下任务:
您必须是管理员才能执行此任务。
  1. 转到控制台,然后选择 Network 选项卡。
  2. 在“网络”选项卡中,找到组织的 ID,然后单击其更多操作按钮。选择管理客户端证书
    此时将显示 "Certificates Summary"(证书汇总)对话框。
  3. 单击“Apply CRL(应用 CRL)”按钮并确认要应用 CRL。