第五章 机构证书准入
节点之前的通信还可以通过证书进行控制,节点证书代表此节点属于某个机构,管理员可以通过配置机构的证书,控制相应证书的节点是否能够与其它节点通信。
5.1 检查证书文件
节点证书存放在节点文件目录的data目录中:
- ca.crt:根证书公钥,整条区块链共用。
- ca.key:根证书私钥,私钥应保密,仅在生成节点证书公私钥时使用。
- server.crt:节点证书的公钥。
- server.key:节点证书的私钥,私钥应保密。
5.2 配置节点
5.2.1 开启所有节点的SSL验证功能
#以创世节点为例
cd /mydata/nodedata-1/
vim config.json
#编辑 ssl的值为1
"ssl":"1"
#然后重启
./stop.sh
./start.sh
#其余所有节点也进行同样操作开启SSL验证
5.2.2 配置机构证书
开启验证后,每个节点都需要添加证书或者证书上链才可以通信
cd /mydata/nodedata-1/
#获取server.crt的序列号
openssl x509 -noout -in server.crt -serial
#=>serial=8A4B2CDE94348D22
cd /mydata/FISCO-BCOS/systemcontractv2
vim ca.json
#将上述值填入hash字段中,status字段为0不可用,1可用,根据需要修改相关字段。
#证书数据上链
node tool CAAction update ca.json
#开启证书验证
#一旦开启,所有不在系统合约中的证书对应的节点,将无法通信。
#执行命令,CAVerify设置为true
node tool.js ConfigAction set CAVerify true
#检查是否打开 输出true,表示开关已打开
node tool.js ConfigAction get CAVerify
#如果需要关闭,则是设为false
node tool.js ConfigAction set CAVerify false
#查看证书状态
node tool.js CAAction all
#修改证书状态
node tool.js CAAction updateStatus ca.json