Fabric CA/数字证书管理

颁发数字证书的Fabric CA

一。概述

说明：

Fabric CA是超级账本的数字证书认证中心，提供如下功能：

1。用户信息的注册

2。数字证书的发行

3。数字证书的延期和吊销

Fabric CA由服务端  和  客户端组成。下图描述了Fabric CA组件在整个超级账本架构中的作用：

说明：

1。Fabric CA服务端：

    提供用户登记和注册的数字证书管理功能，数据存储后端可以为Mysql/PostgreSQL/LDAP等。

    若配置LDAP，则用户信息存于LDAP中。而不是mysql/PostgreSQL。

2。Fabric CA服务采用无状态的集群部署

    数据存储和业务逻辑分离，Fabric CA服务能够采用无状态集群部署。通过HAProxy等软件实现“负载均衡”&“服务高可用”

3。Fabric CA服务端提供Restful接口，供客户端工具和HFC SDK访问。

   手工部署方式可采用客户端工具实现

   若集成到应用程序中，可采用HFC SDK来实现。（通过HFC SDK注册的证书有多种类型：user/app/peer/orderer/client/validator/auditor等）

二。Fabric CA服务端安装部署

（一）准备工作

1。安装GO语言1.9以上版本

//Step1:切换root用户权限
sudo passwd root     #设置密码
su root

//Step2:下载go
wget -P /opt https://dl.google.com/go/go1.9.2.linux-amd64.tar.gz

-P指定下载到目录/opt目录下

也可进入opt目录:cd /opt 直接下载

wget  https://dl.google.com/go/go1.9.2.linux-amd64.tar.gz

//Step3:解压缩
tar -C /opt -xzf go1.9.2.linux-amd64.tar.gz

-C指定解压缩文件所在目录。

也可进入/opt目录cd /opt直接解压缩

tar -xzf go1.9.2.linux-amd64.tar.gz

2。设置GOPATH环境变量

//编辑文件
vi /etc/profile

//加入下述配置
export GOROOT=/opt/go
export GOPATH=/opt/gopath
export GOBIN=$GOROOT/bin
export PATH=$PATH:$GOBIN

//退出保存 ESC->:wq

//配置文件生效
source /etc/profile

//查看go是否安装和配置环境变量成功
go version 

显示：go  version go1.9.2 linux/amd64 表示成功

3。确认libtool和libtdhl-dev已安装

//安装libtool & libtdhl-dev

apt install libtool libltdl-dev

（二）安装Fabric CA服务端和客户端

//安装git
apt-get install git  

//查看版本号
git version  

//安装Fabric CA服务端和客户端（fabric-ca-server & fabric-ca-client安装至$GOPATH/bin下）--需要花费一段时间
go get -u github.com/hyperledger/fabric-ca/cmd/...

注意：最新版本会有问题，可切换到1.0版本

     cd /opt/gopath/src/github.com/hyperleder/fabric-ca  #进入fabric-ca目录
     
     git branch -r    #查看所有分支

     git checkout origin/release-1.0

cd /opt/gopath/src/github.com/hyperleder/fabric-ca/cmd/fabric-ca-server

go build

go install   #安装faric-ca-server

which fabric-ca-server  #查看fabric-ca-server位置：/opt/go/bin/fabric-ca-server

cd ../fabric-ca-client

go build

go install #安装fabric-ca-client

which fabric-ca-client  #查看fabric-ca-client位置:/opt/go/bin/fabric-ca-client

（三）通过命令行启动Fabric CA服务

//初始化fabric-ca-server (目录任意位置)
fabric-ca-server init -b admin:adminpw

//启动fabric-ca-server，使用默认设置（目录任意位置）
fabric-ca-server start -b admin:adminpw

-b选项：提供注册用户的名称和密码

注：若未用LDAP，则-b选项必须

默认配置文件名称：faric-ca-server-config.yaml。路径可自定义。

Fabric CA颁发数字证书