管理憑證

本主題包含如何管理網路憑證的相關資訊,包括如何匯入及匯出憑證以設定區塊鏈網路,以及如何管理及撤銷憑證。

管理憑證的一般工作流程

以下是管理您網路憑證的一般作業。

新增組織至網路

您必須是管理員,才能夠執行這些作業。

作業 描述 其他資訊
匯出或準備組織的憑證 想加入網路的組織會輸出或寫入其憑證檔案,然後提供給該組織使用。

匯出憑證 :

建立 Fabric Organization 的憑證檔案

建立組織的協力廠商憑證檔案
匯入成員憑證 創辦人會匯入組織的憑證檔案,將組織新增至網路。 匯入憑證以新增組織至網路
檢視憑證 創始人可以檢視和管理網路的憑證 。 檢視並管理憑證

撤銷憑證

您必須是管理員,才能夠執行這些作業。

作業 描述 其他資訊
決定要撤銷的憑證 檢視您系統上的憑證,以決定要撤銷哪些憑證來保護網路安全。 檢視並管理憑證
選取要撤銷的憑證 撤銷您 CA 中的憑證。 撤銷憑證
套用 CRL 產生並套用更新的 CRL,以確保具有已撤銷憑證的用戶端無法存取通道。 套用 CRL

匯出憑證 :

創辦人和參與者組織必須匯入及匯出憑證 JSON 檔案,才能建立網路。

請注意下列資訊:

  • 創始人若要將參與者組織新增至區塊鏈網路,參與者必須匯出其憑證檔案,並使其可供創始人使用。接著,建立者會上傳憑證檔案,將參與者組織新增至網路。

  • 憑證匯出檔案包含 admincerts、cacerts 與 tlscacerts。

  • 您可能需要匯出區塊鏈或應用程式開發人員的憑證。例如,用戶端應用程式需要 TLS 憑證才能與對等或訂購者互動。

如需有關將 Hyperledger Fabric 或協力廠商組織加入至網路所需的寫入憑證檔案的資訊,請參閱 Extend the Network

  1. 移至主控台並選取 [ 網路 ] 標籤。
  2. 在「網路」頁籤中,移至「組織」表格,找出您要匯出憑證的成員,然後按一下其其他動作按鈕。
  3. 按一下匯出憑證
    請注意,主控台和 REST API 匯出的檔案僅與相同元件的匯入相容。因此,您無法順利使用 REST API 匯入使用主控台建立的匯出檔案。同樣地,您無法順利使用此主控台來匯入使用 REST API 建立的匯出檔案。
  4. 指定儲存檔案的位置。按一下確定以儲存憑證檔案。
  5. 傳送憑證 JSON 檔案給發起者以進行匯入。請參閱匯入憑證以新增組織至網路

匯入憑證以新增組織至網路

若要新增組織至網路,創始人必須匯入由要加入網路的組織匯出或準備的憑證檔案。

您可以匯入下列組織類型的憑證。
Type 描述
Oracle Blockchain Platform 參與者組織 您可以將參與者組織匯入 Oracle Blockchain Platform 網路。您可以上傳參與者組織從主控台匯出並傳送給您的憑證。

如需有關建立要上傳的憑證,以及成功在網路上設定參與者組織所需執行之其他步驟的清單,請參閱加入參與者或擴展 OSN 至創立者的訂購服務
Hyperledger Fabric 組織 您可以將 Hyperledger Fabric 組織匯入 Oracle Blockchain Platform 網路中。若要成功上傳 Fabric 組織的憑證檔案,您必須修改憑證檔案以新行字元取代所有 \n 實例。

請參閱將 Fabric 組織加入 Oracle Blockchain Platform Network 的典型工作流程
第三方憑證組織 您可以匯入使用第三方 CA 伺服器所產生憑證的組織。若要成功上傳協力廠商組織的憑證檔案,您必須修改憑證檔案,以換行字元取代所有 \n 的例項。

請參閱將含有第三方憑證的組織加入 Oracle Blockchain Platform Network 的典型工作流程
您必須是管理員才能匯入憑證。
  1. 移至主控台並選取 [ 網路 ] 標籤。
  2. 網路頁籤中,按一下新增組織。顯示新增組織頁面。
    請注意,主控台和 REST API 匯出的檔案僅與相同元件的匯入相容。因此,您無法順利使用 REST API 匯入使用主控台建立的匯出檔案。同樣地,您無法順利使用此主控台來匯入使用 REST API 建立的匯出檔案。
  3. 按一下上傳組織憑證。就會顯示檔案上傳對話方塊。
  4. 瀏覽並選取包含要新增至網路之組織憑證資訊的 JSON 檔案。此檔案通常會命名為 certs.json。按一下開啟
  5. (選用) 按一下加號 (+) 圖示可尋找並上傳其他組織的憑證資訊。
  6. 按一下「新增」。您新增的組織會顯示在組織表格中。
    請注意以下關於 Oracle Blockchain Platform 參與者、Hyperledger Fabric 和第三方憑證組織的資訊。即使創辦人上傳了憑證資訊,新增的組織必須先匯入創辦人的訂購服務設定值,才能使用訂購服務在網路上進行通訊。創始人必須匯出其訂購服務設定,並將產生的檔案提供給加入組織進行匯入。請參閱下列:

什麼是憑證撤銷清單?

您可以使用憑證撤銷清單 (CRL) 來協助管理網路中的憑證。

憑證廢止清冊是數位憑證簽發憑證機構 (CA) 在簽發憑證截止日期之前註銷,不再信任用於網路上的簽發憑證。例如,您應撤銷所有遺失、遭竊或洩漏的憑證。

使用「管理憑證」功能撤銷使用者的憑證後,Oracle Blockchain Platform 會建立 CRL。為確保在整個網路中撤銷憑證,您必須:

  • 將對等項目加入至其他網路成員所建立的通道後,請使用「套用 CRL」功能。套用 CRL 可防止具有已撤銷憑證的用戶端存取通道。請參閱套用 CRL

檢視並管理憑證

您可以使用主控台來檢視及管理執行處理中的使用者憑證,以及您在建置網路時匯入的任何憑證。

  1. 移至主控台並選取 [ 網路 ] 標籤。
  2. 在「網路」頁籤中,找出您組織的 ID,然後按一下其其他動作按鈕。選取管理用戶端憑證
    請注意,「憑證摘要」表格會是空的,直到您將使用者新增至執行處理為止。此外,管理員的憑證不會顯示在此表格中。這是為了避免您不小心撤銷管理員的憑證。
    此表格中將不會顯示具有第三方憑證或具有已撤銷憑證之 Hyperledger Fabric 組織的組織。在此情況下,您必須使用原生 Hyperledger Fabric CLI 或 SDK 來匯入組織的憑證撤銷清單 (CRL) 檔案。
    就會顯示「憑證摘要」對話方塊,並顯示執行處理中的憑證清單。
  3. 視需要執行下列任何一項工作:
    • 撤銷憑證。請參閱撤銷憑證
    • 如果您已撤銷憑證且在具有多個成員的網路中工作,則在您將對等項目加入至其他網路成員所建立的通道後,請使用「套用 CRL」。套用 CRL 可防止具有已撤銷憑證的用戶端存取通道。請參閱套用 CRL

撤銷憑證

組織可以撤銷其任何使用者的憑證。為確保網路安全,在憑證遺失、遭竊或外洩時,您應撤銷憑證。

您必須是管理員,才能夠執行此作業。
  1. 移至主控台並選取 [ 網路 ] 標籤。
  2. 在「網路」頁籤中,找出您組織的 ID,然後按一下其其他動作按鈕。選取管理用戶端憑證
    就會顯示「憑證摘要」對話方塊。
  3. 在「憑證摘要」對話方塊中,找出並選取您要撤銷憑證的使用者 ID。
  4. 按一下「撤銷」並確認要永久撤銷所選使用者的憑證。
    具有已撤銷憑證的使用者會顯示在表格中並新增至 CRL。
  5. 如果您與其他成員在網路中作業,則必須執行下列動作:
    • 如果您使用的是具有多個成員的網路,則在您將對等項目加入至其他網路成員所建立的通道後,套用 CRL。套用 CRL 可防止具有已撤銷憑證的用戶端存取通道。請參閱套用 CRL

套用 CRL

如果您正在網路中作業,則在您將對等項目加入至其他網路成員所建立的通道後,必須套用 CRL。套用 CRL 可防止具有已撤銷憑證的成員存取通道。

您必須先執行下列工作,再套用 CRL:
您必須是管理員,才能夠執行此作業。
  1. 移至主控台並選取 [ 網路 ] 標籤。
  2. 在「網路」頁籤中,找出您組織的 ID,然後按一下其其他動作按鈕。選取管理用戶端憑證
    就會顯示「憑證摘要」對話方塊。
  3. 按一下「套用 CRL」按鈕,並確認要套用 CRL。