在HyperLedger Fabric中,为什么我们不能将相同的PKI用于对等身份和TLS!?
答案 0 :(得分:0)
@Karthick V
感谢更新问题
我希望您使用cryptogen工具,这就是为什么您可以同时看到
tls folder的原因
在Fabric中,您可以执行三种方法
cryptogen使您可以自由选择使用TLS或TLS
如果您在注册时熟悉Fabric-CA,我们会提到标签profile: "tls",以便会通知Fabric-ca证书将在TLS模式下使用
答案 1 :(得分:0)
从技术上讲,您可以对签名和TLS使用相同的密钥/证书对(X509证书将需要同时发布这两种情况所需的所有用法和扩展用法属性)。
但是,这不是推荐的安全做法。最佳做法是在发行加密材料/身份时遵循“关注点分离”。因此,对于我们的样本,我们选择采用这些最佳实践。
一个示例可能是您想要使用主要的第三方CA(Symantec,DigiCert,Certicom等)颁发TLS证书,然后使用自己的CA颁发注册材料。