我想知道是否强烈建议在生产中使用没有相互TLS的fabric-ca。
我计划运营一个结构网络,其中会自动添加许多同行,应用程序和用户,并且不会使用加密工具。
而是使用第二个fabric-ca来颁发TLS证书。这些证书将用于与MSP fabric-ca和同行等进行客户端身份验证。
TLS fabric-ca不执行客户端身份验证,因为新用户将具有enrollmentID + secret但没有客户端证书。
我在此UML sequence diagram中说明了注册过程。
"用户"图中的表示代表同行,应用程序或用户。
答案 0 :(得分:1)
您不能要求来自实际CA服务器的相互/客户端TLS应该发布客户端TLS证书,除非您在带外分发客户端证书(我认为您不会这样做)想做)。对于发布TLS证书的CA而言,它非常适合不要求客户端/相互TLS身份验证。
