对等身份和 TLS 使用相同的 PKI
Usage of same PKI for peer identity and TLS
在 HyperLedger Fabric 中,为什么我们不能对 Peer Identity 和 TLS 使用相同的 PKI!?
@Karthick V
感谢您更新问题
我希望您使用的是 cryptogen 工具,这就是为什么您能够看到额外的 tls folder 以及
- msp/keystore
- msp/signcerts
好吧,在 Fabric 中,您可以通过三种方式进行操作
- 没有 TLS
- 使用 TLS
- 使用双向 TLS
cryptogen 让您可以自由选择使用 TLS 或 TLS
如果您在注册时熟悉 Fabric-CA,我们会提到一个标签 profile: "tls" 因此 fabric-ca 将收到证书将在 TLS 模式下使用的通知
从技术上讲,您可以对签名和 TLS 使用相同的 key/cert 对(需要颁发 X509 证书,其中包含两种情况所需的所有使用和扩展使用属性)。
但是,这不是推荐的安全做法。最佳做法是在发布加密 material / 身份时遵循 "separation of concerns"。因此,对于我们的样本,我们选择采用这些最佳实践。
例如,您可能想使用主要的第 3 方 CA(Symantec、DigiCert、Certicom 等)之一颁发 TLS 证书,然后使用您自己的 CA 颁发注册 material .
在 HyperLedger Fabric 中,为什么我们不能对 Peer Identity 和 TLS 使用相同的 PKI!?
@Karthick V
感谢您更新问题
我希望您使用的是 cryptogen 工具,这就是为什么您能够看到额外的 tls folder 以及
- msp/keystore
- msp/signcerts
好吧,在 Fabric 中,您可以通过三种方式进行操作
- 没有 TLS
- 使用 TLS
- 使用双向 TLS
cryptogen 让您可以自由选择使用 TLS 或 TLS
如果您在注册时熟悉 Fabric-CA,我们会提到一个标签 profile: "tls" 因此 fabric-ca 将收到证书将在 TLS 模式下使用的通知
从技术上讲,您可以对签名和 TLS 使用相同的 key/cert 对(需要颁发 X509 证书,其中包含两种情况所需的所有使用和扩展使用属性)。
但是,这不是推荐的安全做法。最佳做法是在发布加密 material / 身份时遵循 "separation of concerns"。因此,对于我们的样本,我们选择采用这些最佳实践。
例如,您可能想使用主要的第 3 方 CA(Symantec、DigiCert、Certicom 等)之一颁发 TLS 证书,然后使用您自己的 CA 颁发注册 material .