如果我们在 hyperledger fabric 中使用 PKI,为什么我们需要 Fabric TLSCA?
Why do we require Fabric TLSCA if we use PKI in hyperledger fabric?
如果我们有用于安全通信的 PKI,我不明白拥有 FabricTLSCA 的实际需求是什么。我的假设是不同组件之间的安全通信需要 TLSCA。例如,我的域的证书 *.abc.com 可以使用 PKI 使用,而不是为什么需要 Fabric TLSCA 来提供证书。
TLS CA 用于组件之间的 TLS 通信。通信通过 TLS 进行端到端加密,因此无法泄露。由 TLS CA 签署的证书在 TLS 握手期间有效。
常规 MSP CA 用于身份验证、成员身份...Fabric 中的签名经过验证,因为用于签名的证书由 MSP CA 签名。
两个 CA 可以相同。它们也可以不同。
您不需要使用 Fabric CA 来颁发 TLS 证书。您也可以使用自己的 CA。您甚至可以使用第 3 方 TLS/SSL 证书颁发机构,例如 Let's Encrypt、DigiCert、Verisign 等。如果您选择使用双向 TLS,如果您希望添加身份验证,您可能不想使用 public 第三方服务,但一般来说在任何情况下都没有必要使用双向 TLS。
如果我们有用于安全通信的 PKI,我不明白拥有 FabricTLSCA 的实际需求是什么。我的假设是不同组件之间的安全通信需要 TLSCA。例如,我的域的证书 *.abc.com 可以使用 PKI 使用,而不是为什么需要 Fabric TLSCA 来提供证书。
TLS CA 用于组件之间的 TLS 通信。通信通过 TLS 进行端到端加密,因此无法泄露。由 TLS CA 签署的证书在 TLS 握手期间有效。
常规 MSP CA 用于身份验证、成员身份...Fabric 中的签名经过验证,因为用于签名的证书由 MSP CA 签名。
两个 CA 可以相同。它们也可以不同。
您不需要使用 Fabric CA 来颁发 TLS 证书。您也可以使用自己的 CA。您甚至可以使用第 3 方 TLS/SSL 证书颁发机构,例如 Let's Encrypt、DigiCert、Verisign 等。如果您选择使用双向 TLS,如果您希望添加身份验证,您可能不想使用 public 第三方服务,但一般来说在任何情况下都没有必要使用双向 TLS。