蜗牛讲-fabric原理之证书生成


 

蜗牛讲技术,满满的都是干货,你值得关注。

蜗牛讲-fabric原理之证书生成_第1张图片


 

之前我们讲了通过

./byfn.sh  generate

的作用是 用于生成fabric网络中的组件公私钥证书信息以及初始的交易信息。如果只是要生成相关证书信息,也可以直接使用fabric提供的cryptogen 工具完成这一步工作,命令如下:

cryptogen generate --config=./crypto-config.yaml

具体是怎么生成的,由crypto-config.yaml配置文件决定。我们将详细介绍是如何产生证书文件,已经生成了哪些证书文件。

 

读取crypto-config.yaml配置信息

 

cryptogen工具会读取 crypto-config.yaml中的所有配置,把内容解析到名为 OrdererOrgs和 PeerOrgs的数据结构中,其实这两个对应的就是crypto-config.yaml 中的两个根节点或是一级节点(这里是把yaml看成和xml一样的文件格式),这两个的类型为OrgSpec,类型的定义如下:

type OrgSpec struct {
   Name          string       `yaml:"Name"`
   Domain        string       `yaml:"Domain"`
   EnableNodeOUs bool         `yaml:"EnableNodeOUs"`
   CA            NodeSpec     `yaml:"CA"`
   Template      NodeTemplate `yaml:"Template"`
   Specs         []NodeSpec   `yaml:"Specs"`
   Users         UsersSpec    `yaml:"Users"`
}

这里也可以看出OrdererOrgs和 PeerOrgs是由哪些子节点组成的(这里说的节点是 文件内容里的标签节点,而不是fabric里所的网络节点)

 

解析PeerOrgs

 

假如当前的一个PeerOrgs配置如下:

  - Name: Org2
   Domain: org2.example.com
   EnableNodeOUs: true
   Template:
     Count: 2
   Users:
     Count: 1
  • 根据Template的count数量(这个count决定了这个org2.example.com的域名下有多少个节点),生成相应数量的hostname, 并把 这些hostname信息放在specs下,可以看成会生成如下格式,以yaml文件格式表示:

      - Name: Org2
       Domain: org2.example.com
       EnableNodeOUs: true
       Template:
         Count: 2
       Users:
         Count: 1
      Specs:
         -Hostname:peer0
         -Hostname:peer1
  •  处理yaml:Specs节点的配置

    1. 首先会根据提供的模板

    "{{.Hostname}}.{{.Domain}}"

    生成两个CommonName :

    peer0.org2.example.com

    peer1.org2.example.com。

     

    2. 之后处理SAN (Subject Alternative Names), SAN是一个可选配置,主要是用于指定要生成的X509中的一个或是多个SAN,可以为hostname, commonname 或是IP地址形式。处理规则是:如果有指定CommonName, 就用指定的CommonName为解析模板,否则就是用默认的CommonName解析模板,数据源为hostName和 Domain, 这个例子中就为 peer0 (peer1)和 org2.example.com。 默认的解析模板为:

    "{{.Hostname}}.{{.Domain}}"

    例子中由于没有指明CommonName,所以直接用默认模板,解析结果为:

    peer0.org2.example.com

    peer1.org2.example.com

     

    3. 之后是拼接SANS,根据上面的解析结果,默认设置的SANS为hostname和 CommonName, 也就是peer0(peer1)和peer0.org2.example.com (peer1. org2.example.com)。如果配置文件上有指定其他的CommonName,就把这两个加入到指定的CommonName中,一起作为SANS,在生成正式的时候使用。

    下面是一个完整的Specs的示例,配置的时候可以参考 

        Specs:
         - Hostname: foo # implicitly "foo.org1.example.com"
           CommonName: foo27.org5.example.com
           SANS:
              - "bar.{{.Domain}}"
              - "altfoo.{{.Domain}}"
              - "{{.Hostname}}.org6.net"
              - 172.16.10.31
          - Hostname: bar
          - Hostname: baz
  • 处理yaml:CA 的配置。如果没有指定ca配置,默认的ca的hostname为ca, 其它处理过程和yaml:Specs完全一致。

    下面是CA配置的一个完整示例:

         CA:
           Hostname: ca # implicitly ca.org1.example.com
           Country: US
           Province: California
           Locality: San Francisco
           OrganizationalUnit: Hyperledger Fabric
           StreetAddress: address for org # default nil
           PostalCode: postalCode for org # default nil

 

生成证书和公私钥

 

  1. 生成节点的CA证书。创建 crypto-config/peerOrganizations/{domain}/ca 目录,例子中为org.example.com。根据yaml:CA的配置,使用fabric的加密服务提供程序(bccsp),生成P256的椭圆加密算法的私钥和公钥,然后使用ca中指定的 country, province,common name等信息生成包含公钥信息的ca.org2.example.com-cert.pem 文件

    蜗牛讲-fabric原理之证书生成_第2张图片

     

  2. 生成tls的证书。同上面的ca证书,只不过tls证书中的common name为 tlsca, 而上面的ca证书中的common name为ca

    蜗牛讲-fabric原理之证书生成_第3张图片

     

  3. 把ca下的证书和tls证书导入到crypto-config/peerOrganizations/org2.example.com/msp/cacerts和crypto-config/peerOrganizations/org2.example.com/msp/tlscacerts下

    蜗牛讲-fabric原理之证书生成_第4张图片

     

  4. 如果设置了EnableNodeOUs,就在msp下生成config.yaml文件 

  5. 根据配置的节点信息,为每一个节点创建本地的msp, 包括两部分:

    第一部分为创建peers/{commonName}/msp 。例子中的就为:peers/peer0.org2.example.com/msp

    peers/peer1.org2.example.com/msp

    这部分证书都是通过csp产生一个keystore私钥,然后使用这个私钥对应的公钥生成admincerts,cacerts,signcerts 的证书。而cacerts下的证书和peerOrganizations/{domain}/ca下ca.{domain}-cert.pem是完全一样的。tlscacerts 下的证书也和{domain}下其他的tlscacerts文件夹下的证书完全一致。

     

    第二部分是生成peers/{commonName}/tls目录下的公私钥证书,例子中为:peers/peer0.org2.example.com/tls

    peers/peer1.org2.example.com/tls

    这部分证书是重新生成的。包含一个ca证书,一个公钥证书和一个私钥证书。如果节点类型为 client,就生成客户端的公钥证书和私钥证书,如果节点类型为orderer或是peer类型,就生成服务端相关的证书。私钥存在serer.key内。ca.crt是把证书内容通过x509.ParseCertificate转换得到,而server.crt是通过把写入了证书内容的pem文件直接重命名成crt文件得到。

    蜗牛讲-fabric原理之证书生成_第5张图片

     

  6. 根据配置的yaml:Users下的yaml:Count 的数目,来为每个用户生成用户信息,生成的内容和步骤和3.5完全一致。用户名的生成规则为:从1开始循环递增到Count, 每个用户名为:"User" + index + @ + Domain , 例子中就为:[email protected]。默认会有一个admin用户。

    蜗牛讲-fabric原理之证书生成_第6张图片

     

  7. 把用户下的signcerts 作为admincerts copy到org1.example.com/msp/admincerts和org1.example.com/peers/{CommonName}/admincerts下。

     

到此,节点相关的所有证书信息已经生成。接下来是生成orderer相关的证书信息,过程和节点完全类似,这里就不累赘描述了。

 


 

覆盖完整的区块链知识体系,从入门到源码,这里有真正想要的区块链技术,欢迎大家关注微信号:蜗牛讲技术。扫下面的二维码

 

转载于:https://www.cnblogs.com/StephenWu/p/9130438.html

你可能感兴趣的:(蜗牛讲-fabric原理之证书生成)