Fabric证书过期问题

原创 已于 2023-05-25 10:49:49 修改 · 1.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fabric #服务器 #运维

于 2022-11-18 09:57:52 首次发布
本文探讨了Hyperledger Fabric中TLS证书过期问题及其影响。提供了两种解决方案:一是重新生成TLS证书;二是重新部署项目。文章还介绍了fabric-ca的默认证书有效期,并给出了实践中的注意事项。

相信很多人和我们一样,开始使用Hyperledger Fabric进行项目是从他的Test-network开始的吧,从最开始的单节点配置到后来扩展到多节点配置。但是基础还是从test-network来的。

进来,一些一年前的项目陆续出现一些问题,让我们发现了fabric里面这个大坑。

那就是TLS证书过期错误。

默认启动Fabric-ca的时候,还挺简单对吧,启动docker之后,程序会自动生成root证书,并根据root证书生成后续需要的tls证书和节点证书。

但是最近出问题之后,我们深入研究了fabric-ca的默认配置文件,发现其中

 tls证书有效期默认为1年

enroll证书(各类角色,包括peer,orderer等)的证书有效期是5年。

root ca证书有效期默认是15年。

那经常会遇到问题的就是tls证书过期的问题了。也就是说,项目好端端跑了一年,就会突然遇到证书失效的问题……也是醉了。

解决方案1:重新生成tls证书

(请注意,这个方法成功完成了节点证书重新生成,但是因为提到的这个channel错误并没有最后成功)

删除fabric-ca生成的tls-cert.pem,重新启动ca,就可以重新生成tls证书,但是因为tls证书在各个节点的链接过程中,凡是涉及和ca进行认证交互的部分都需要,这个证书是拷贝到每个结构对应的所有节点了的,所以要逐个节点进行替换。

这样,5年内应该是没有问题了,5年之后,要重新执行enroll指令,为各个节点重新申请enroll证书,就可以完成续命。

经测试,在删除节点配置文件的tls文件夹之后,遇到了"channel xxx is not serviced by me"问题,经查,似乎和2.3以前版本需要创建consortium有关,这有个类似的问题

最低0.47元/天 解锁文章
Linux搭建Hyperledger Fabric区块链框架 - Hyperledger Fabric模型概念
赵健乔的技术Blog
02-01 3670
2015年,Linux基金会启动了Hyperledger项目,目标是发展跨行业的区块链技术。Hyperledger Fabric是Hyperledger中的一个区块链项目,包含一个账本,使用智能合约并且是一个通过所有参与者管理交易的系统。Hyperledger Fabric 是分布式账本解决方案的平台,以模块化架构为基础,支持不同组件的可插拔。
x509: certificate has expired or is not yet valid错误解决
热门推荐
卢舍那
08-02 4万+
x509: certificate has expired or is not yet valid错误解决
fabric2.2 tls和签名认证证书过期解决方案
心若留念的博客
02-21 2204
1. fabric证书过期替换 1.1 记录需要修改目录 ## 记录需要修改目录 fabric-ca/ordererOrg/tls-cert.pem fabric-ca/org1/tls-cert.pem fabric-ca/org1/tls-cert.pem organizations/ordererOrganizations/example.com/msp/signcerts/cert.pem organizations/ordererOrganizations/example.com/msp/k
Fabric证书相关处理流程
baijiafan的博客
12-23 1514
fabic test-network启动顺序介绍
Hyperledger Fabric CA中文文档
ling的专栏
06-09 2605
Fabric CA
实战:fabric 用户证书吊销操作流程
BSN_yanxishe的博客
07-04 1661
背景:在fabric框架中,Orderer、Peer、客户端SDK、CLI接口等操作都需要用到证书,用户在非授权的情况下不得接入区块链。但是由于现实多种原因(证书泄露、员工离职等)需要撤销用户证书。 请注意,被撤销的证书证书过期完全不同。撤销的证书尚未过期,按其他方式来说,它们是完全有效的证书。......
Hyperledger Fabric问题汇总
解鞍少驻初程的博客
01-03 3284
hyperledger fabric问题汇总
精选资源
fabric-ca 二进制文件
04-17
4. ** update(更新)**:更新注册信息,如证书过期时间。 5. ** affiliation management(关联管理)**:管理组织间的关联关系,有助于组织结构的构建。 在 `hyperledger-fabric-ca-linux-amd64-1.5.6.tar` 文件中...
精选资源
hyperledger-fabric-ca-darwin-amd64-1.4.9.tar.gz
03-08
4. **证书生命周期管理**:CA可以设置证书过期策略,当证书接近过期时,用户可以通过CA进行证书更新。 5. **证书撤销**:如果密钥泄露或用户权限发生变化,CA可以将证书加入到证书撤销列表(CRL),确保网络安全性。...
精选资源
hyperledger-fabric-ca-linux-amd64-1.4.9.tar.gz
01-07
更新证书可以更改过期的私钥或更新证书属性,而撤销证书则意味着证书不再有效,通常是因为私钥泄露或其他安全原因。 5. **策略和角色**:Fabric CA支持细粒度的身份管理和访问控制策略,可以定义不同的角色(如管理...
Fabric ca 1.4国密单机部署并测试
qq_44926783的博客
04-10 345
这样一个新用户就注册成功了,获取了属于自己的证书和私钥。目录,包含管理员的证书和私钥。客户端可以接收到一个密码。在bin文件夹中有了。
Hyperledger Fabric 2.2.1 区块链问题汇总(持续更新)
茕夜
01-27 5731
搭建Hyperledger Fabric时遇到了很多问题,很多坑,这里汇总一下,有些可能没保存图片,还有些问题没及时记录起来: 1、生成orderer区块文件时,如下图所示: 必须要指定channelID修改命令如下即可: configtxgen -profile TestTwoOrgsOrdererGenesis -channelID qkltestchannel -outputBlock ./order.genesis.block 2、创建orderer区块文件时,如下图所示: 原因
Fabric错误集锦及解决办法
zhan7023的博客
03-17 1万+
[DiscoveryService]: send[xxxchannel] - Channel:xxxchannel received discovery error:access denied 状态:之前启动成功过区块链浏览器容器,后来容器总是莫名其妙的挂掉 原因:第一次通过docker-compose.yaml启动区块链浏览器时候,会为持久化数据(Postgres数据和用户钱包)分配了两个命名卷block-explorer_pgdata和block-explorer_walletstore;关闭容器的时候
1.Fabric-CA简介
boss2967的博客
10-12 2195
1.Fabric-CA简介 Fabric 设计中考虑了三种类型的证书:登记证书(Enrollment Certificate)、交易证书(Transaction Certificate),以及保障通信链路安全的 TLS 证书证书的默认签名算法为 ECDSA,Hash 算法为 SHA-256。 登记证书(ECert):颁发给提供了注册凭证的用户或节点等实体,代表网络中身份。一般长期有效。 交易证书(TCert):颁发给用户,控制每个交易的权限,不同交易可以不同,实现匿名性。短期有效。 通信证书(TLS..
fabric-ca 问题集(一)
it_zhouzhenfeng的专栏
01-08 1491
在做fabric-ca 权限管理过程中遇到 /api/v1/register 401 25 "Invalid token in authorization header: Token signature validation failed" 检查证书等一系列都没有问题, 最后发现是由于中文问题导致post请求中乱码导致解析错误。  解决方法:对中文进行url encode 附上fabr...
Hyperledger Fabric 国密改造 & 兼容多证书 & 兼容证书升级
Coder_Joker的博客 joke a joker
11-15 1182
fabric-sdk-java 兼容多证书 允许同个channel中的所有节点(peer/orderer)共用同一套算法体系 允许同个channel中的节点使用不同的算法(peer0.org1.com 使用ecdsa而peer0.org2.com使用SM2) 节点配置错误时,内存增长控制范围内 fabric-ca 国密支持 权威机构颁发的证书国密支持 ...
Fabric CA/数字证书管理
weixin_33892359的博客
10-17 1325
MSP(Membership Service Provider)成员管理服务提供商 名词: 1。CSR(Cerificate Signing Request):证书签署请求文件 CSR里包含申请者的 DN(Distinguished Name,标识名)和公钥信息(在第三方机构签署证书时要提供)。 证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT...
hyperledger fabric配置文件详细分析
草根工厂——技术虐我千百遍,我依然待你如初恋
07-04 4732
导言: 旨在记录fabric环境搭建时使用的配置文件对应的功能和字节介绍。 目标: 了解节点证书和创世块生成的配置文件的配置信息; 了解各类节点的配置文件的配置信息; 了解系统core.yaml文件的配置信息; 了解fabric节点证书包括哪些内容; 配置文件: 文章中1-6对应的配置文件是本人在实际搭建fabric环境《深入理解hyperledger f...
Hyperledger Fabric CA:区块链身份管理与交易认证指南
随着区块链网络的运行,Fabric CA允许定期更新或撤销过期或不再有效的证书,以维持系统的安全性和合规性。 Fabric CA由服务器端和客户端两部分组成,它们协同工作以实现上述功能。对于开发者来说,想要贡献于Fabric...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

百家饭AI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值