【发布时间】:2021-08-22 04:33:53
【问题描述】:
证书颁发机构如何签署 Corda 网络内的证书?是否有明确的流程来管理 Corda 网络中每个节点和参与者的证书?
【问题讨论】:
标签: corda
【发布时间】:2021-08-22 04:33:53
【问题描述】:
要加入 Corda 网络,节点需要从要连接的网络的 Identity Manager 获取证书。在 Corda Enterprise 的documentation 中有描述:
要连接到兼容区域,您需要在其注册 证书签署机构(或门卫)通过提交证书 签名请求 (CSR) 以获取区域的有效身份。这 该过程仅在节点连接到网络时才需要 第一次,或证书到期时。你可以做到这一点 乐队,例如通过电子邮件或网络表格,但也有 节点中内置的简单请求/响应实用程序。
在使用此实用程序之前,您必须首先获得信任 存储包含来自区域运营商的根证书的文件。为了 高安全区域,这可能是物理交付的。
因此,节点运营商首先需要与网络运营商离线联系并提供其 X.509 信息。网络运营商将为节点提供:
truststore.jks,网络/区域运营商在密钥库中的根证书,具有本地可配置的密码作为保护 某些攻击
此时节点可以使用节点实用程序向 Identity Manager 发出 CSR(证书签名请求)以获取节点证书并接收以下信息:
nodekeystore.jks,存储节点的身份密钥对和证书
请注意,这也可以由网络运营商直接提供,我想这取决于他们的政策。在documentation中也有描述。
节点也可以创建自己的sslkeystore.jks,
存储节点的 TLS 密钥对和证书
例如,可用于将外部 RPC 客户端连接到节点。
节点证书过期并且可以被身份管理器撤销,所以在这种情况下,它需要提出其他特定的请求来获取新证书。
进一步阅读:
【讨论】:
-
在证书到期的情况下,是否有自动执行密钥轮换的流程?更新密钥后,使用先前密钥签署的先前交易会发生什么情况?这些交易仍然可以解决给节点/方吗?网络是否保留针对节点/部分的证书历史记录?
-
Corda Enterprise 提供工具,但这取决于网络的组织方式和 cordapps 的架构。 docs.corda.net/docs/cenm/1.5/….