如何避免Fabric CA成为单点故障？

Question

如果我理解正确，fabric区块链网络中的每个对等点(以某种方式通过八卦互连)将只接受来自其他对等点的传入连接，前提是这些对等点使用由Fabric CA签名的公钥的HTTPS连接。

对吗？

因此，在我的理解中，Root-CA成为单点故障，因为人们可以修改它，从那时起，修改后的Root-CA证书将传播到节点，最终没有节点可以相互连接。

这是正确的吗？

Answer 1

让我也试着回答这两个问题，也许更直接一点。

QUESTION1:如果我理解正确的话，fabric区块链网络中的每个对等体(以某种方式通过八卦互连)将只接受来自其他对等体的传入连接，前提是这些对等体使用由Fabric CA签名的公钥的HTTPS连接。对吗？

ANSWER1:不，这是不正确的。您说的是“Fabric CA"，但是每个fabric区块链网络都有多个受信任的CA，其中每个CA可以是Fabric CA、另一个CA或其组合。此模型中没有单个受信任的CA根目录。此外，来自对等设备的连接是通过GRPC而不是HTTPS进行的。

QUESTION2:因此，在我的理解中，根CA成为单点故障，因为人们可以修改它，从那时起，修改后的根CA证书将传播到节点，最终没有节点可以相互连接。这是正确的吗？

ANSWER2:不，这是不正确的。不存在SPoF (单点故障)，因为: a)单个交换矩阵CA可以在群集中运行b)区块链网络中有多个交换矩阵CA群集(或其他CA)。c)对等方和订单方不直接连接到CA。它们使用本地可从文件系统或其账本副本获得的加密材料进行操作。也没有SPoT (单信任点)，因为: a)它们是没有公共根密钥的多个根CA，以及b)配置更新影响谁信任谁，谁可能需要来自不同信任根的多个身份的签名。例如，更改信任策略可能需要来自区块链(或hyperledger术语中的通道)中每个组织的管理员的签名。

Answer 2

对等点将接受来自其他对等点和订单者的传入连接。您可以定义哪些成员将参与渠道，即哪些成员将参与您的网络中的迷你区块链。然后，为每个成员创建工件。您有更多关于应该创建的通道和工件的信息，here。以及有关您将使用here的工具的更多信息。

创建通道并将对等项加入通道后，连接将由MSP控制。在创建通道时，需要为每个用户定义公钥。然后，由MSP管理它们。

正如您所说，Root-CA可以修改，但这可能会发生在具有任何其他Root-CA的任何其他系统中。当成员请求其密钥时，应打开Fabric CA服务器，然后将其停止。此外，Hyperledger建议创建中间CA。

Answer 3

varnit和Urko的答案在一定程度上解决了这个问题。但是，在确定Fabric CA是否呈现SPoF时，有许多方面需要考虑。首先，可以使Fabric CA高度可用，如varnit的响应中所述。但是，Fabric CA不是区块链网络运行所必需的，SDK或CLI可以使用它来获取证书，这些证书用于配置网络中的对等方和排序方以及将通过其进行事务处理的通道。完全使用cryptogen工具在没有Fabric CA的情况下配置网络时，可以创建所需的证书。在Fabric的手册中定义了here。要配置网络，您将使用configtxgen工具。

在配置网络时，表示每个组织角色的证书存储在网络的创始块中，在配置通道时，存储在通道的配置块中。因此，每个节点，无论是对等节点还是排序者，都可以访问所有(根)证书。改变各种组织的根证书的唯一方法将是获得有效的事务，以根据为该网络定义的背书策略更新商定的网络配置。