在 Hyperledger Fabric 中使用自定义的基于从属关系的策略
Using custom affiliation-based policies in Hyperledger Fabric
我想要一个同级组织的 4 个中间 CA:ICA1, ICA2, ICA3 and ICA4 - 每个节点 OU(同级、订购者、管理员和客户端)一个。
假设我将 ICA1 作为通道配置的对等节点 OU 中的 cacerts 属性,那么 peer 身份将在不同的 ICA 下(ICA2, ICA3 或 ICA4), 是否能够满足 "OrgMSP.peer" 签名的策略?
- 如果是,那么如何确保只有特定部门下的角色集才能满足
OrgMSP.<role>给出的策略?我不希望为组织中的每个部门或团队创建 MSP 定义。那么,没有它可以实现吗?
- 如果否,那么我是否也可以在特定 OU 的通道的节点 OU 配置中指定一组 ICA,以便我可以利用非常复杂的策略,例如
"Signature of one-of 'OrgMSP.peer'",让我们在这里说,cacerts 属性 对于 peer OU 将是 ICA1 和 ICA3。这是可以实现的吗?
当您指定 nodeOU 配置时,您可以简单地提供与角色对应的 OU 名称(听起来您就是这样做的),或者您可以指定 OU 名称 和 颁发证书。这可以是根 CA 或中间 CA,但在任何一种情况下,为了满足该角色,证书必须具有指定的 OU 并由指定的 CA 颁发。
注意:每个 role/certificate 对通知 MSP 满足角色的证书的有效颁发者。因此,如果您有 CA1、CA2、ICA1 和 ICA2,您可以指定给定角色两次,一次用于 CA1,一次用于 ICA2。那么只有 CA1 或 ICA2 颁发的(直接)证书才能满足该角色。
如果您查看 sample MSP configuration,您会发现证书可能已指定,但默认情况下被省略。
您可以在实际proto documentation.
中查看有关如何使用此证书的更多详细信息
我想要一个同级组织的 4 个中间 CA:ICA1, ICA2, ICA3 and ICA4 - 每个节点 OU(同级、订购者、管理员和客户端)一个。
假设我将 ICA1 作为通道配置的对等节点 OU 中的 cacerts 属性,那么 peer 身份将在不同的 ICA 下(ICA2, ICA3 或 ICA4), 是否能够满足 "OrgMSP.peer" 签名的策略?
- 如果是,那么如何确保只有特定部门下的角色集才能满足
OrgMSP.<role>给出的策略?我不希望为组织中的每个部门或团队创建 MSP 定义。那么,没有它可以实现吗? - 如果否,那么我是否也可以在特定 OU 的通道的节点 OU 配置中指定一组 ICA,以便我可以利用非常复杂的策略,例如
"Signature of one-of 'OrgMSP.peer'",让我们在这里说,cacerts属性 对于peerOU 将是 ICA1 和 ICA3。这是可以实现的吗?
当您指定 nodeOU 配置时,您可以简单地提供与角色对应的 OU 名称(听起来您就是这样做的),或者您可以指定 OU 名称 和 颁发证书。这可以是根 CA 或中间 CA,但在任何一种情况下,为了满足该角色,证书必须具有指定的 OU 并由指定的 CA 颁发。
注意:每个 role/certificate 对通知 MSP 满足角色的证书的有效颁发者。因此,如果您有 CA1、CA2、ICA1 和 ICA2,您可以指定给定角色两次,一次用于 CA1,一次用于 ICA2。那么只有 CA1 或 ICA2 颁发的(直接)证书才能满足该角色。
如果您查看 sample MSP configuration,您会发现证书可能已指定,但默认情况下被省略。
您可以在实际proto documentation.
中查看有关如何使用此证书的更多详细信息