使用非 Fabric CA 作为 Fabric CA 的父级
Using non-Fabric CA as a parent of Fabric CAs
是否可以使用通用 public CA(如 DigiCert)或任意非 Fabric CA 作为中间 fabric-ca-servers 的父级?
官方文档似乎假定您仅使用 Fabric CA 作为父级。
这个问题背后的意图是减轻单一根 CA 的集中性质。
编辑:"non-Fabric CA" 我的意思是除了 Fabric CA 之外的任何可以充当 CA 的实现,例如OpenSSL.
是的,您可以使用第三方证书作为根 (RCA) 来生成中间证书 (ICA)。您可以将 Fabric CA 配置为使用 ICA 颁发 peer/orderer 证书。
If you want the Fabric CA server to use a CA signing certificate and key file which you provide, you must place your files in the location referenced by ca.certfile and ca.keyfile respectively. Both files must be PEM-encoded and must not be encrypted. More specifically, the contents of the CA certificate file must begin with -----BEGIN CERTIFICATE----- and the contents of the key file must begin with -----BEGIN PRIVATE KEY----- and not -----BEGIN ENCRYPTED PRIVATE KEY----.
在此处检查样本结构配置文件。在启动 CA 服务器之前,属性 ca.certfile、ca.keyfile 和 ca.chainfile 必须指向 ICA。
是否可以使用通用 public CA(如 DigiCert)或任意非 Fabric CA 作为中间 fabric-ca-servers 的父级? 官方文档似乎假定您仅使用 Fabric CA 作为父级。
这个问题背后的意图是减轻单一根 CA 的集中性质。
编辑:"non-Fabric CA" 我的意思是除了 Fabric CA 之外的任何可以充当 CA 的实现,例如OpenSSL.
是的,您可以使用第三方证书作为根 (RCA) 来生成中间证书 (ICA)。您可以将 Fabric CA 配置为使用 ICA 颁发 peer/orderer 证书。
If you want the Fabric CA server to use a CA signing certificate and key file which you provide, you must place your files in the location referenced by ca.certfile and ca.keyfile respectively. Both files must be PEM-encoded and must not be encrypted. More specifically, the contents of the CA certificate file must begin with -----BEGIN CERTIFICATE----- and the contents of the key file must begin with -----BEGIN PRIVATE KEY----- and not -----BEGIN ENCRYPTED PRIVATE KEY----.
在此处检查样本结构配置文件。在启动 CA 服务器之前,属性 ca.certfile、ca.keyfile 和 ca.chainfile 必须指向 ICA。