MSP的主要的任务是运用手中的证书来做身份和权限控制。在Fabric中证书的生成可以通过cryptogen来生成,基本上这是一种静态工具,玩玩demo是可以的,不建议在生产环境下使用,官方推荐用Fabric-ca。不过没关系,内部逻辑都类似。
20180413180640626.JPG
配置文件
OrdererOrgs:
- Name: Orderer
Domain: example.com
Specs:
- Hostname: orderer
PeerOrgs:
- Name: Org1
Domain: org1.example.com
Template:
Count: 1
Users:
Count: 1
- 基本上这个配置很简单,one orderer,one org,one peer from org,one user。
生成结构
生成的文件分两部分,peer和orderer。如下图所示。
初看上面生成的文件有点懵,没关系,下面我们以peer为例,来分析下,这些是怎么来的。
peer
1554305990325.png
orderer
1554306053688.png
cryptogen
peerOrganizations/org1.example.com
ca
func NewCA(baseDir, org, name, country, province, locality, orgUnit, streetAddress, postalCode string) (*CA, error) {
var response error
var ca *CA
err := os.MkdirAll(baseDir, 0755)
if err == nil {
priv, signer, err := csp.GeneratePrivateKey(baseDir)
response = err
if err == nil {
// get public signing certificate
ecPubKey, err := csp.GetECPublicKey(priv)
response = err
if err == nil {
template := x509Template()
//this is a CA
template.IsCA = true
template.KeyUsage |= x509.KeyUsageDigitalSignature |
x509.KeyUsageKeyEncipherment | x509.KeyUsageCertSign |
x509.KeyUsageCRLSign
template.ExtKeyUsage = []x509.ExtKeyUsage{
x509.ExtKeyUsageClientAuth,
x509.ExtKeyUsageServerAuth,
}
//set the organization for the subject
subject := subjectTemplateAdditional(country, province, locality, orgUnit, streetAddress, postalCode)
subject.Organization = []string{org}
subject.CommonName = name
template.Subject = subject
template.SubjectKeyId = priv.SKI()
x509Cert, err := genCertificateECDSA(baseDir, name, &template, &template,
ecPubKey, signer)
response = err
if err == nil {
ca = &CA{
Name: name,
Signer: signer,
SignCert: x509Cert,
Country: country,
Province: province,
Locality: locality,
OrganizationalUnit: orgUnit,
StreetAddress: streetAddress,
PostalCode: postalCode,
}
}
}
}
}
return ca, response
}
- 生成椭圆曲线公私钥对fe85445ac723e6c3c16084dc6f4bec0f17ef2e92fb255bbb00e9822772f3127e_sk
- 有兴趣可以去看看genCertificateECDSA,如果template和parent相同,说明生成的是自签名(self-signed)的证书。
- 还有SKI是取得私钥的摘要
- 注意证书里面的CommonName和Organization,多说无益,直接看证书内容就好。
1554308756382.png
1554307718914.png
tlsca
跟ca同理,这里只展示证书内容,同样要注意证书里面的CommonName和Organization
1554307878009.png
msp
admincerts
跟下面[email protected]的证书保持一致
1554311752052.png
cacerts
err = x509Export(filepath.Join(baseDir, "cacerts", x509Filename(signCA.Name)), signCA.SignCert)
其实就是将ca的证书导出到这个目录
1554308194374.png
tlscacerts
err = x509Export(filepath.Join(baseDir, "tlscacerts", x509Filename(tlsCA.Name)), tlsCA.SignCert)
同理将tlsca的证书导出到这个目录
1554308340854.png
peers
peer0.org1.example.com
msp
admincerts
跟下面[email protected]的证书保持一致
1554311752052.png
keystore
priv, _, err := csp.GeneratePrivateKey(keystore)
再次生成公私钥对,可以看到跟之前完全不一样,全新的一对
1554309034404.png
signcerts
cert, err := signCA.SignCertificate(filepath.Join(mspDir, "signcerts"),
name, ous, nil, ecPubKey, x509.KeyUsageDigitalSignature, []x509.ExtKeyUsage{})
第一次看来由ca来签发证书。直接来看证书内容。
- 怎么体现是由ca来签发的?AKI,也就是Authority Key Identifier。可以去上面的ca证书的SKI去比对。两者是要严格一致的。
- 证书的其中一个功能是对外宣告,我包含的公钥是合法的,放心用,可以看到这里包含的公钥就是之前生成的。意味着数字签名会用keystore的私钥,让其他人用证书里面的公钥来验证。
1554309256158.png
cacerts
跟之前的处理一样,这里也是ca的冗余
tlscacerts
跟之前的处理一样,这里也是tlsca的冗余
tls
ca.crt
这里是tlsca的冗余,可以自行去比较,跟前面的tlsca完全一致
server.key
这里是针对tls重新生成的一对公私钥,意味着要用tlsca签发tls使用的证书。
1554310326178.png
server.crt
1554310369592.png
users
[email protected]
msp
admincerts
跟下面[email protected]的证书保持一致
1554311752052.png
keystore
同上
1554310865758.png
signcerts
同上
1554310832186.png
cacerts
同上
tlscacerts
同上
tls
ca.crt
同上
client.key
同上
1554310981694.png
client.crt
同上
1554311012410.png
[email protected]
msp
keystore
同上
1554311480554.png
admincerts
注意这里跟signcerts的一致,也是整体admin的证书
1554311367214.png
signcerts
同上
1554311574420.png
cacerts
同上
tlscacerts
同上
tls
ca.crt
同上
client.key
同上
1554311627359.png
client.crt
同上
1554311652573.png
总结
讲这么多,还不如画张图来的清楚
当时看的时候漏了,admincert是从User的signcert来,然后扩散的。
Untitled Diagram.png