机构证书准入¶

一、功能介绍¶

联盟链中区块链上所有节点身份必须可追溯，能与现实实体一一对应，做到节点行为所属机构可追溯。联盟链中区块链上所有节点颁发CA证书，为机构备案公钥证书到区块链，节点连接时验证颁发的CA机构证书有效性判断节点是否准入，对已连接的节点行为进行追溯。联盟链管理员生成CA根证书并把CA根证书公钥提供给所有节点使用。CA根证书为每个节点颁发CA用户证书或同一机构下所有节点使用同一CA机构证书。

二、使用方式¶

机构证书的准入依赖系统合约，在进行机构证书准入操作前，再次请确认：

（1）系统合约已经被正确的部署。

（2）所有节点的config.json的systemproxyaddress字段已经配置了相应的系统代理合约地址。

（3）节点在配置了systemproxyaddress字段后，已经重启使得系统合约生效。

（4）/mydata/FISCO-BCOS/web3lib/下的config.js已经正确的配置了节点的RPC端口。

2.1 配置节点证书¶

节点的证书存放目录在节点文件目录的data文件夹下。包括：

ca.crt：区块链根证书公钥，所有节点共用。
server.crt：单个节点的证书公钥，可公开。
server.key：单个节点的证书私钥，应保密。

证书文件应严格按照上述命名方法命名。

FISCO BCOS通过授权某节点对应的公钥server.crt，控制此节点是否能够与其它节点正常通信。

注意：若要尝试使用AMOP(链上链下)，请直接使用sample目录下的证书。AMOP暂不支持与新生成的证书进行连接。

（1）生成根证书ca.crt

执行命令，可生成根证书公私钥ca.crt、ca.key。ca.key应保密，并妥善保管。供生成节点证书使用。

cd /mydata/nodedata-1/data/
openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

（2）生成节点证书server.key、server.crt

生成节点证书时需要根证书的公私钥ca.crt、ca.key。执行命令，生成节点证书server.key、server.crt。

直接编写配置文件cert.cnf。

vim /mydata/nodedata-1/data/cert.cnf

内容如下，无需做任何修改。

拷贝以下内容在本地保存为cert.cnf文件
[ca]
default_ca=default_ca
[default_ca]
default_days = 365
default_md = sha256
[req] 
distinguished_name = req_distinguished_name 
req_extensions = v3_req
[req_distinguished_name] 
countryName = CN
countryName_default = CN 
stateOrProvinceName = State or Province Name (full name) 
stateOrProvinceName_default =GuangDong 
localityName = Locality Name (eg, city) 
localityName_default = ShenZhen 
organizationalUnitName = Organizational Unit Name (eg, section) 
organizationalUnitName_default = fisco
commonName =  Organizational  commonName (eg, fisco)
commonName_default = fisco
commonName_max = 64 
[ v3_req ] 
# Extensions to add to a certificate request 
basicConstraints = CA:FALSE 
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

生成节点证书时需要根证书的公私钥ca.crt、ca.key。执行命令，用cert.cnf，生成节点证书server.key、server.crt。

cd /mydata/nodedata-1/data/
openssl genrsa -out server.key 2048
openssl req -new -key server.key -config cert.cnf -out server.csr
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -extensions v3_req -extfile cert.cnf

2.2 开启所有节点的SSL验证功能¶

在进行节点证书授权管理前，需开启区块链上每个节点的SSL验证功能。

此处以创世节点为例，其它节点也应采用相同的操作。

cd /mydata/nodedata-1/
vim config.json

将ssl字段置为1，效果如下。

"ssl":"1",

修改完成后重启节点，使其生效。

./stop.sh
./start.sh

其它节点也采用相同的操作，开启SSL验证功能。

2.3 配置机构证书信息¶

将节点的证书写入系统合约，为接下来的证书准入做准备。每张证书都应该写入系统合约中。节点的证书若不写入系统合约，相应的节点将不允许通信。

2.3.1 获取证书序列号¶

获取server.crt的序列号

cd /mydata/nodedata-2/data
openssl x509 -noout -in server.crt -serial

可得到证书序列号

serial=8A4B2CDE94348D22

2.3.2 编写证书准入状态文件¶

在systemcontract目录下编写。

/mydata/FISCO-BCOS/systemcontract
vim ca.json

将序列号填入hash字段。配置status，0表示不可用，1表示可用。其它字段默认即可。如下，让node2的证书可用。即status置1。

{
        "hash" : "8A4B2CDE94348D22",
        "status" : 1,
        "pubkey":"",
        "orgname":"",
        "notbefore":20170223,
        "notafter":20180223,
        "whitelist":"",
        "blacklist":""
}

证书准入状态文件其它字段说明如下。

字段	说明
hash	公钥证书序列号
pubkey	公钥证书，填空即可
orgname	机构名称，填空即可
notbefore	证书生效时间
notafter	证书过期时间
status	证书状态 : 0：不可用 1：可用
whitelist	ip白名单，填空即可
blacklist	ip黑名单，填空即可

2.3.3 将证书准入状态写入系统合约¶

执行以下命令，指定证书准入状态文件ca.json，将证书状态写入系统合约。

babel-node tool.js CAAction update ca.json

2.4 设置证书验证开关¶

证书验证开关能够控制是否采用证书准入机制。开启后，将根据系统合约里的证书状态（status）控制节点间是否能够通信。不在系统合约中的证书对应的节点，将不允许通信。

2.4.1 开启全局开关¶

执行命令，CAVerify设置为true

babel-node tool.js ConfigAction set CAVerify true

查看开关是否生效

babel-node tool.js ConfigAction get CAVerify

输出true，表示开关已打开

CAVerify=true,29

2.4.2 关闭全局开关¶

开关关闭后，节点间的通信不再验证证书。

执行命令，CAVerify设置为false

babel-node tool.js ConfigAction set CAVerify false

2.5 修改节点证书准入状态¶

已经写入系统合约的证书状态，允许修改（可用/不可用）

2.5.1 修改证书准入状态文件¶

修改相应证书对应的证书准入状态文件ca.json

/mydata/FISCO-BCOS/systemcontract
vim ca.json

配置status，0表示不可用，1表示可用。其它字段默认即可。如下，让node2的证书不可用。即status置0。

{
        "hash" : "8A4B2CDE94348D22",
        "status" : 0,
        "pubkey":"",
        "orgname":"",
        "notbefore":20170223,
        "notafter":20180223,
        "whitelist":"",
        "blacklist":""
}

2.5.2 更新证书准入状态¶

执行以下命令，指定证书准入状态文件ca.json，更新证书准入状态。

babel-node tool.js CAAction updateStatus ca.json

查看证书状态

babel-node tool.js CAAction all

可看到证书状态

----------CA 0---------
hash=8A4B2CDE94348D22
pubkey=
orgname=
notbefore=20170223
notafter=20180223
status=0
blocknumber=36
whitelist=
blacklist=

##三、证书注意事项:

妥善保管 server.key，切勿泄露，同时应把证书，server.crt 和 server.key 备份到安全位置