FISCO BCOS上使用第三方CA证书底层节点部署实操

发布时间:2020-12-07 来源:本站


作者:林宣名|FISCO BCOS开源社区贡献者


CA证书怎么生成?节点相互验证证书时会交叉验证吗?对于社区常遇到的此类问题,分享一些个人使用第三方CA证书部署底层节点的经验,希望可以给大家一些借鉴与参考。


为什么要对第三方CA证书进行改造?


首先,说明一下我进行第三方CA证书改造的背景和原因:

鉴于以上三点,我觉得大家对如何进行第三方CA证书改造都很关注。


FISCO BCOS技术文档中提供了CFCA证书改造的案例,但在一些细节上还待完善,因此我想写一篇教程,结合生产环境改造、第三方CA配合、合规性、技术实现等内容具体说明,看看能否对其他社区用户有所帮助。


除了司法领域存证,还有哪些场景需要由第三方CA机构参与?


基本上用到CA证书的区块链场景都有可能用到第三方CA证书,是否采用第三方CA证书主要考虑:

两级证书模式下,为什么需要配置白名单列表?如果不配置会有什么问题?


两级证书模式下使用第三方提供CA证书作为链证书,如果不配置白名单,只要是CA证书签发节点证书都可以连接到这条链上,配置白名单可以实现准入拦截。


实操步骤教学


接下来,我们来看看使用第三方CA证书部署底层节点的具体实操步骤。


此次改造要点为:


环境准备


  1. 两台测试服务器:118.25.208.8、132.232.115.126
  2. 操作系统为ubuntu:18.04
  3. openssl 工具使用ubuntu 18.04自带 openssl 1.1.1
  4. 选用普通版FISCO BCOS 2.5.0 版本,节点使用的节点证书算法为EC secp256k1曲线
  5. 结合【白名单机制】一起使用

    https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/docs/manual/certificate_list.html#id2


备注:测试过程中节点私钥和请求证书文件统一管理,但在生产环境中节点私钥应由各机构管理员进行生成,提交给CA方,私钥各自留存。


基础证书准备


生成基础节点私钥和节点证书请求文件


采用openssl 工具,要求1.0.2版本以上,生成对应的节点私钥和节点证书请求文件、以及对应的node.nodeid(nodeid 是公钥的十六进制表示)。


说明:以下每个节点第四步生成node.nodeid 中的node.key ,都是对应节点的cert_IP_port.key 修改的,该操作是底层要求的。










说明:FISCO BCOS V2.5版本中,采用了私钥及EC secp 256k1曲线算法。


CA方进行节点证书签发


提交各个节点的node.csr 文件给CA方,CA方返回一张CA.crt 证书作为链证书,返回四张pem格式的节点证书。


说明:FISCO BCOS中,CA方返回证书的模式为:root -> node -issuer,节点证书中糅合issuer证书内容。


建链










至此,我们就完成了第三方CA证书结合底层节点部署的改造。


从流程上看,主要是在链证书-->机构证书-->节点证书的生成流程改变了,以及需要在meta目录下进行手动创建peers.txt文件和节点目录等。


结缘FISCO BCOS开源社区

说起我与FISCO BCOS开源社区的结缘也源于CA证书,在一次政企项目对接中,业主方要求区块链底层需适配国密,并使用业主方指定的CA证书。


早期我们团队使用的是其他区块链底层,无法直接适配国密,且改造难度大、周期长、成本高;考虑到后续国内不少项目会涉及到适配国密和CA改造等,我们迫切需要一套完备的区块链底层支持上述需求。通过圈内朋友介绍,了解到FISCO BCOS,在进行深入技术调研、可行性分析后最终选择了FISCO BCOS。


FISCO BCOS开源社区中创设了开放交流的氛围,欢迎大家在社区与我交流讨论。

关于本期分享内容的更多详情,可通过元磁之力进一步了解:https://www.yc-l.com/article/49.html

元磁之力论坛是由林宣名和他的团队为FISCO BCOS开源社区贡献的用户交流平台,主要用于分享和学习FISCO BCOS及相关的技术知识。感谢大家为社区做出的各类贡献,您的每一次参与都将成为社区成长的动力!


分享至: