Hyperledger Fabric中的中间CA的目的是什么

时间:2019-06-11 13:43:41

标签: hyperledger-fabric hyperledger-fabric-ca

背景

Fabric documentation说,MSP可能有一个带有中间CA(ICA)的文件夹,如下所示。

enter image description here

问题:

拥有此文件夹的目的是什么?据我了解,每个ICA证书都是用根CA证书签名的,并且根CA证书已添加到MSP配置中。因此,即使Fabric MSP没有与ICA的文件夹,它似乎仍然可以验证传入的请求(因为它具有根证书)。

我可能认为拥有ICA可能不是用于验证,而是用于某些配置,并为由不同ICA签名的身份赋予不同的角色,但是对我来说,如何准确使用它是个模糊的问题。

文档:

以下是Hyperledger Fabric文档的相关部分:

  

中间CA::此文件夹包含X.509证书的列表   该组织信任的中间CA。每个证书   必须由MSP中的一个根CA或中间人签名   颁发CA链的CA最终会返回到受信任的根CA。

     

中间CA可能代表该CA的不同细分   组织(例如ORG1-MANUFACTURING和ORG1-DISTRIBUTION为   ORG1)或组织本身(例如,   CA被用于组织的身份管理)。在里面   后一种情况,中间CA可以用来代表组织   细分。在这里,您可以找到有关最佳做法的更多信息   MSP配置。请注意,有可能正常运行   没有中间CA的网络,在这种情况下   文件夹将为空。

     

类似于Root CA文件夹,此文件夹定义了从中获得证书的CA   必须颁发证书才能被视为   组织。

1 个答案:

答案 0 :(得分:1)

我可以想到设置中间CA的主要原因之一是为了保护您的信任根。可能会为您的组织或子组织分配一个您要高度保护的身份证书。因此,您可以通过派生/生成一个或多个中间证书并设置相应的CA来确保它的安全,以便您的根证书可以保留在安全区域(例如DMZ)中,并且您可以使用中间证书充分获得验证和签名的好处证书和CA。当您的中间证书和CA链接到颁发证书的单一信任根时,验证仍然不会受到影响。

相关问题
最新问题