一.证书目录解析

 
通过cryptogen生成所有证书文件后,以peerOrgannizations的第一个组织树org1为例,每个目录和对应文件的功能如下:
 
ca: 存放组织的根证书和对应的私钥文件,默认采用EC算法,证书为自签名。组织内的实体将基于该证书作为证书根。
tlsca:存放组织tls连接用的根证书和私钥文件。(TLS是传输层安全协议,其实就是SSL,现在叫TLS了)
msp:存放代表该组织的身份信息。
       admincerts:组织管理员的身份验证证书,被根证书签名。
       cacerts:组织的根证书,同ca目录下文件。
       tlscacerts:用于TLS的ca证书,自签名。
peers:存放属于该组织的所有peer节点。
       peer0:第一个peer的信息,包括其msp证书和TLS证书两类。
             msp:
                  admincerts:组织管理员的身份验证证书。peer将基于这些证书来认证交易签署这是否为管理员身份。
                  cacerts:组织的根证书.
                  keystore:本节点的身份私钥,用来签名。
                  signcerts:验证本节点签名的证书,被组织根证书签名。
                  tlscacerts:TLS连接用的身份证书,即组织TLS证书。
             tls:存放tls相关的证书和私钥
                  ca.crt:组织的根证书
                  server.crt:验证本节点签名的证书,被组织根证书签名。
                  server.key:本节点的身份私钥,用来签名。
       peer1:第二个peer的信息,结构类似。(省略)
users:存放属于该组织的用户的实体。
      Admin:管理员用户的信息,包括其msp证书和tls证书两类。
            msp:
                  admincerts:组织根证书作为管理者身份验证证书。
                  cacerts:组织的根证书.
                  keystore:本用户的身份私钥,用来签名。
                  signcerts:管理员用户的身份验证证书,被组织根证书签名。要被某个Peer认可,则必须放到该peer的msp/admincerts下。
                  tlscacerts:TLS连接用的身份证书,即组织TLS证书。
           tls:存放tls相关的证书和私钥
                ca.crt:组织的根证书
                server.crt:管理员的用户身份验证证书,被组织根证书签名。
                server.key:管理员用户的身份私钥,用来签名。
     User1:第一个用户的信息,包括msp证书和tls证书两类。
           msp:
                 admincerts:组织根证书作为管理者身份验证证书。
                 cacerts:组织的根证书.
                 keystore:本用户的身份私钥,用来签名。
                 signcerts:验证本用户签名的身份证书,被组织根证书签名。
                 tlscacerts:TLS连接用的身份证书,即组织TLS证书。
           tls:存放tls相关的证书和私钥
                 ca.crt:组织的根证书
                 server.crt:验证用户签名的身份证书,被组织根证书签名。
                 server.key:用户的身份私钥,用来签名。
    User2:第二个用户的信息,结构类似(省略)
 

二.证书内容解析

查看证书文件(实际上,数字证书就是经过CA认证过的公钥)的标准为X.509,编码格式为pem,以-----BEGIN开头,以-----END结尾。X.509 数字证书不但包括用户名和公共密钥,而且还包括有关该用户的其他信息。除了扩展名为PEM的还有以下这些:
CRT :应该是certificate的三个字母,还是证书的意思。打开看也是pem编码格式。
KEY: 用来存放一个公钥或私钥,并非X.509证书。打开看依然PEM格式。
 
证书的默认签名算法为ECDSA,Hash算法为SHA-256。Fabric中设计中考虑了三种类型证书:
登记证书(ECert):颁发给提供了注册凭证的用户或节点实体,长期有效。(主要就是通ECert对实体身份检验)
通信证书(TLSCert):TLS证书用来保障通信链路安全,控制对网络层的接入访问,可以对远端实体身份校验,防止窃听。
交易证书(TCert):颁发给用户,控制每个交易的权限,一般针对某个交易,短期有效。(此功能fabric还暂未启用)
 
在chaincode里可以通过shim API的GetCreator函数提取调用当前交易的客户端的身份证书,使用GO语言的pem包将证书解码,然后使用x.509包解析证书中的信息。

搭建基于hyperledger fabric的联盟社区(八) --Fabric证书解析的更多相关文章

  1. Fabric go sdk初始化所需证书解析

    fabric sdk go 提供的官方文档少之又少,要想入门,主要就靠研究官方的e2e系列示例,这真的是一件挺无奈的事情.没法子,只能硬着头皮上了.研究发现,e2e这个例子是通过cryptogen生成 ...

  2. 搭建基于hyperledger fabric的联盟社区(一) --前言

    三个月前上面发了一个关于智群汇聚和问题求解研究的项目,我们公司做其中的一个子项目,就是基于区块链的科技信息联盟构建.利用区块链的去中心化特性,构建一个基于区块链的科技社区,以提供科技群智汇聚采集的基础 ...

  3. 搭建基于hyperledger fabric的联盟社区(六) --搭建node.js服务器

    接下来我要做的是用fabric sdk来做出应用程序,代替CLI与整个区块链网络交互.并且实现一个http API,向社区提供一个简单的接口,使社区轻松的与区块链交互. 官方虽然提供了Node.JS, ...

  4. 搭建基于hyperledger fabric的联盟社区(五) --启动Fabric网络

    现在所有的文件都已经准备完毕,我们可以启动fabric网络了. 一.启动orderer节点 在orderer服务器上运行: cd ~/go/src/github.com/hyperledger/fab ...

  5. 搭建基于hyperledger fabric的联盟社区(四) --chaincode开发

    前几章已经分别把三台虚拟机环境和配置文件准备好了,在启动fabric网络之前我们要准备好写好的chaincode.chaincode的开发一般是使用GO或者JAVA,而我选择的是GO语言.先分析一下官 ...

  6. 搭建基于hyperledger fabric的联盟社区(七) --升级chaincode

    上个版本的chaincode有很多功能不完备,所以要部署新版本的chaincode.Fabric支持在保留现有状态的前提对chaincode进行升级. 一.新版chaincode 新版本的chainc ...

  7. 搭建基于hyperledger fabric的联盟社区(三) --生成公私钥证书及配置文件

    一.生成公私钥和证书 Fabric中有两种类型的公私钥和证书,一种是给节点之前通讯安全而准备的TLS证书,另一种是用户登录和权限控制的用户证书.这些证书本来应该是由CA来颁发,但是目前只有两个社区,所 ...

  8. 搭建基于hyperledger fabric的联盟社区(二) --环境配置

    接下来讲一下在本地测试区块链网络的过程.我要部署的是2peer+1orderer架构,所以需要准备三台虚拟机,为了方便起见可以先把一台配置好,然后复制出剩余两台即可.搭建虚拟机我用的是virtualb ...

  9. 搭建基于hyperledger fabric的联盟社区(九) --检索状态数据库

    一.启动elasticsearch服务 官网下载压缩包解压,进入bin目录启动: ./elasticsearch 通过ip访问 localhost:9200,可以看到如下信息 { name: &quo ...

随机推荐

  1. day35 爬虫简述

    爬虫概要 - pip3 install requests - pip3 install beautifulsoup4 基本爬虫: - Python实现浏览器行为,requests - beautifu ...

  2. Ansible 小手册系列 十一(变量)

    变量名约束 变量名称应为字母,数字和下划线. 变量应始终以字母开头. 变量名不应与python属性和方法名冲突. 变量使用 通过命令行传递变量(extra vars) ansible-playbook ...

  3. mysqldump 使用方法

    1.仅导出数据: mysqldump -t -uroot -proot pgenius RES_COM_PFT_FCST>RES_COM_PFT_FCST.sql 2.有条的导出数据: mysq ...

  4. ZOJ-2972-Hurdles of 110m(线性dp)

    Hurdles of 110m Time Limit: 2 Seconds      Memory Limit: 65536 KB In the year 2008, the 29th Olympic ...

  5. 【Html 学习笔记】第六节——列表

    无序列表:<ul></ul> 有序列表:<ol start=$num></ol> 不同类型的无序列表:<ul type="***&quo ...

  6. js 时差转换 getTimezoneOffset()

    如果我们的应用是针对世界各地的,当要把后台(服务器)存的时间展示给不同地区的用户时,这个时间应该经过时差转换. 转成用户客户端本地的时间,然后呈现给用户,即下面用到的getTimezoneOffset ...

  7. 2018.11.15 RF antenna impedance-matching

    We have studied the impedance-matching of RF transmission line between the antenna and the RX / TX m ...

  8. root用户下使用sqlplus登录Oracle数据库

    1.把环境变量添加到root用户的环境变量里面2.执行 chmod -R 6777 /tmp           chmod -R 6777 /usr/tmp           chmod -R 6 ...

  9. Linux:grep命令详解

    grep grep(global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具, ...

  10. macOS 下安装SDKMAN 软件开发工具包管理器

    SDKMAN 软件开发工具包管理器的安装非常简单,只需要打开终端,执行: $ curl -s "https://get.sdkman.io" | bash 就OK了,输出类似如下: ...