Hyperledger Fabric 网络中的多个组织拥有相同的根 CA
Having the same root ca for multiple organizations in Hyperledger Fabric network
在所有结构示例和文档中,通常都有一个唯一的私有证书颁发机构为每个组织颁发证书。
但是,使用代码库,我没有看到不同组织需要每个具有不同根 CA 的限制。
多个组织拥有相同的根 CA 是否存在问题?证书中的主题字段是否足以用于不同结构工作流中的身份验证?
如果您想确保一个组织不会伪装成另一个组织,那么由组织颁发或为组织颁发的证书必须有一些独特之处。当然,处理此问题的最简单方法是为每个组织设置一个单独的根 CA。也可以有一个共同的根,但每个组织有不同的中间 CA。
但是鉴于您的问题基本上是关于使用单个 fabric-ca 为多个组织颁发证书,这可以使用 v1.1 及更高版本中引入的组织单位 (OU) 标识符功能来实现。基本上,您可以在颁发的证书中使用 OU 来区分组织。使用 Fabric CA v1.1 及更高版本,您可以为每个组织创建不同的从属关系,并且在颁发证书时,OU 将设置为在注册过程中与身份关联的从属关系。您可以信任单个管理员为多个组织正确注册身份,或者您可以创建一组分层的管理员(意味着创建多个 CA 管理员但为每个管理员分配不同的从属关系,因为管理员只能在他们自己的从属关系下注册用户)。
然后在您的 MSP 定义中,您可以使用 config.yaml 文件指定与 MSP 关联的 OU。例如,如果您查看 https://github.com/hyperledger/fabric/blob/release-1.1/sampleconfig/msp/config.yaml,则
OrganizationalUnitIdentifiers:
- Certificate: "cacerts/cacert.pem"
OrganizationalUnitIdentifier: "COP"
表示该组织由证书中具有 OU=COP 的根 CA PLUS 标识。这也意味着 fabric-ca 中的从属关系也将是 "COP"
在所有结构示例和文档中,通常都有一个唯一的私有证书颁发机构为每个组织颁发证书。 但是,使用代码库,我没有看到不同组织需要每个具有不同根 CA 的限制。
多个组织拥有相同的根 CA 是否存在问题?证书中的主题字段是否足以用于不同结构工作流中的身份验证?
如果您想确保一个组织不会伪装成另一个组织,那么由组织颁发或为组织颁发的证书必须有一些独特之处。当然,处理此问题的最简单方法是为每个组织设置一个单独的根 CA。也可以有一个共同的根,但每个组织有不同的中间 CA。
但是鉴于您的问题基本上是关于使用单个 fabric-ca 为多个组织颁发证书,这可以使用 v1.1 及更高版本中引入的组织单位 (OU) 标识符功能来实现。基本上,您可以在颁发的证书中使用 OU 来区分组织。使用 Fabric CA v1.1 及更高版本,您可以为每个组织创建不同的从属关系,并且在颁发证书时,OU 将设置为在注册过程中与身份关联的从属关系。您可以信任单个管理员为多个组织正确注册身份,或者您可以创建一组分层的管理员(意味着创建多个 CA 管理员但为每个管理员分配不同的从属关系,因为管理员只能在他们自己的从属关系下注册用户)。
然后在您的 MSP 定义中,您可以使用 config.yaml 文件指定与 MSP 关联的 OU。例如,如果您查看 https://github.com/hyperledger/fabric/blob/release-1.1/sampleconfig/msp/config.yaml,则
OrganizationalUnitIdentifiers:
- Certificate: "cacerts/cacert.pem"
OrganizationalUnitIdentifier: "COP"
表示该组织由证书中具有 OU=COP 的根 CA PLUS 标识。这也意味着 fabric-ca 中的从属关系也将是 "COP"