我对与加密货币和超级账本结构网络设置有关的问题。我想解释一下我的工作流程。我想知道此程序可用于生产
1. I have 2organisation org1,org2.In which each organisation consist two peers,only one ordered for
both organisation and 2 fabric-ca server.
2. Generating the all the key pairs using the cryptogen tool using the crypto-config.yaml.
3. Generating genesis block and channel transaction using the configtx tool with configtx.yaml.
4. (Important Note:)I am using the CA private key and certificate ca.org1.example.com-cert.pem, which is generated using the cryptogen tool in my network docker yaml file to setup the fabric ca.
5. After setup all i am running the network its works fine.
6. I am enrolling and registering the admin and user from the outside using the fabricnodesdk.
在这里,使用加密源生成ca私钥和证书的最佳做法是在生产环境中设置和运行CA服务器。如果这不是一个好习惯,我还有其他方法可以实现它吗?请您的建议对我有帮助。
答案 0 :(得分:1)
我发现这是一种肮脏的方式。您的Fabric-CA正在工作,而您的订购者和对等方当然也在工作,因为它们的证书正确且已由CA适当签名。但是事实是,与您通过密码生成的订购者,对等方和客户端相对应的身份尚未在Fabric-CA数据库中注册,因此您既不能通过以下方式通过Fabric-CA管理或撤销这些身份及其对应的证书,未来。
我的建议(当然是针对生产环境):不要偷懒;保持正确的fabric-ca-server-config.yaml和fabric-ca-client-config.yaml配置;安全启动您的Fabric-CA;并编写初始身份注册,证书注册和MSP / TLS文件夹结构创建的脚本。
答案 1 :(得分:0)
Hyperledger Fabric文档建议在生产环境中不要使用密码元工具
原因:它是一种工具,所有加密材料都是在有效期内实时生成的,有效期为10年,并且您无法通过fabric-CA进行进一步控制,例如吊销,重新注册等,因为fabric-ca不会拥有数据库中的副本
传统方式:通过注册和注册有效期为1年的身份来使用Fabric-CA生成加密材料
但是,如果您同意我的观点,那么我早在两年前的一个生产环境中就使用过加密货币工具。除非您需要与CA进行交互以更改身份,否则在生产中使用加密源工具没有任何危害。这取决于我们的用例中的用例,我们不需要一直更改它是一个典型用例就永远固定的身份
但是后来我一直在使用 fabric-CA 和自定义CA 来 利用更多可能性生成加密货币材料