Hyperledger Fabric如何启用双向TLS?

简介:

Hyperleder Fabric区块链支持在通信节点之间启用TLS传输层安全通信,TLS支持单向验证 - 仅验证服务节点身份,或双向验证 - 同时验证服务节点和客户端节点的身份。本文将介绍如何在Hyperledger Fabric网络中启用双向TLS安全通信。

Hyperledger Fabric链码与应用开发相关教程:

1、TLS基本概念

TLS(Transport Layer Security),即传输层安全协议,用于在两个通信节点之间提供保密性和数据完整性,这是通过采用X.509证书进行身份验证并生成会话密钥来实现的。

当一个节点A需要向另一个节点B发送消息时,需要满足以下条件才能保证数据完整性和安全性:

  • 身份确认:B应当可以确认消息来自A而不是C或D
  • 数据加密:A以加密方式向B发送消息

服务节点会发送其X.509证书(及任何中间级CA证书)给客户端,客户端使用其信任的某个根证书验证服务节点的身份。绝大多数客户端使用Microsoft或Mozilla提供的可信根证书集。在此过程结束后,客户端就可以确认服务节点的真实身份。

TLS应用非常广泛,例如,我们在使用浏览器访问https开头的网址时,就是在使用TLS,TLS可以保证通信双方身份的确认并且建立一个双向的加密信道。

TLS不仅支持客户端对服务节点的身份验证,同时也可以支持服务节点来验证客户端的身份,这就是我们所说的双向TLS身份验证,在P2P通信环境中,双向TLS身份验证尤为必要:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G4XyeWoW-1575941979735)(hyperledger-fabric-tls/mutual-auth.png)]

2、为Orderer或Peer启用TLS双向身份验证

那么我们如何在Hyperledger Fabric中启用双向TLS?

排序节点(Orderer)要启用对客户端的身份验证,需要设置如下环境变量:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RiZyVKdC-1575941979736)(hyperledger-fabric-tls/orderer-env.png)]

对等节点(Peer)要启用对客户端的身份验证,需要设置如下环境变量:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LM6KkLKu-1575941979737)(hyperledger-fabric-tls/peer-env.png)]

3、TLS连接Orderer或Peer的Node.js代码

用收到的客户端证书和密钥设置Client实例,该实例将会使用这些密码学资料来提交给orderer和peer。

例如,下面的Node.js代码展示了如何设置client实例的TLS密码学资料,然后如何创建启用TLS双向认证的orderer和peer实例。我们假设client的PEM编码的TLS密钥和证书的路径分别是somepath/tls/client.keysomepath/tls/client.crt

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-smqmha20-1575941979737)(hyperledger-fabric-tls/fabric-code.png)]

如果出现验证问题,你会看到如下的错误信息:

E0923 16:30:14.963494564 31166 ssl_transport_security.cc:188] ssl_info_callback: error occured.

E0923 16:30:14.963567129 31166 ssl_transport_security.cc:989] Handshake failed with fatal error SSL_ERROR_SSL: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate.
E0923 16:30:15.964456710 31166 ssl_transport_security.cc:188] ssl_info_callback: error occured.

原文链接:Hyperledger Fabric双向TLS配置与连接方法 - 汇智网

目录
相关文章
|
开发框架 .NET 区块链
Hyperledger fabric部署链码(五)初始化与链码升级
fabric部署chaincode-go(智能合约)系列之五
201 0
|
测试技术 Go 区块链
Hyperledger fabric 测试环境部署
Hyperledger fabric 测试环境部署及相关问题解答
264 3
Hyperledger fabric 测试环境部署
|
JavaScript 测试技术 Go
Hyperledger fabric部署链码(一)打包链码
fabric部署chaincode-go(智能合约)系列之一
243 0
|
存储 JSON 安全
Hyperledger fabric智能合约编写(一)
本篇文章主要对链码编写的主要思路和部分API进行梳理。
171 1
|
区块链
Hyperledger fabric部署链码(二)安装链码到fabric
fabric部署chaincode-go(智能合约)系列之二
146 1
|
Go API 区块链
Hyperledger Fabric相关概念介绍
在学习Hyperledger Fabric的过程中,初步对相关概念的了解。
257 0
Hyperledger Fabric相关概念介绍
|
JSON 区块链 数据格式
Hyperledger fabric部署链码(四)提交链码定义到channel
fabric部署chaincode-go(智能合约)系列之四
|
测试技术 API 区块链
Hyperledger fabric部署链码(三)批准链码定义
fabric部署chaincode-go(智能合约)系列之三
128 0
|
消息中间件 Java Kafka
Hyperledger Fabric 通道配置文件和容器环境变量详解
Fabric 节点的主配置路径为 FABRIC_CFG_PATH 环境变量所指向路径(默认为 /etc/hyperledger/fabric)。在不显式指定配置路径时,会尝试从主配置路径下查找相关的配置文件。
355 0
|
安全 区块链 数据库
联盟链 Hyperledger Fabric 应用场景
本文主要通过一个例子分享以Hyperledger Fabric为代表的联盟链应用场景。
729 0
联盟链 Hyperledger Fabric 应用场景