配置双头CA

Question

我正在尝试使用双头CA (用于在同一个节点上签名和使用TLS的不同密码材料)，通过使用--cafiles来配置：

• 设置多个CA (说:至少在ca.name和csr.cn上不同)
• CA核对表 (如：port和tls部分不同)

因此，的第一个问题是:它们是否必须有不同的端口？

我要像这样启动CA：

export FABRIC_CA_SERVER_HOME=/config/tls-ca
fabric-ca-server start -b admin:adminpw --cafiles /config/ca/fabric-ca-server-config.yaml

这样，在/config/tls-ca文件夹中，可以在启动时创建ca-cert.pem和tls-cert.pem以及/config/ca/ca-cert.pem (但没有tls-cert.pem)。所以，哪一个CA是由FABRIC_CA_SERVER_HOME创建的，哪个CA是由--cafiles创建的，这似乎很重要，不是吗？(第二个问题)

第三个问题：，每个fabric-ca-server-config.yaml应该如何引用正确的文件？

目前，TLS-CA的一个(重要部分)是：

port: 7054
tls:
  enabled: true
  certfile: # leave empty?
  keyfile:  # leave empty?
  clientauth:
    type: RequireAndVerifyClientCert
    certfiles:
      - /config/tls-ca/tls-cert.pem # or /config/tls-ca/ca-cert.pem? Or empty?
ca:
  name: Org1TLSCA
csr:
   cn: org1-tls-ca

签署-CA的一个(重要部分)是：

port: 7054 # same port allowed?
tls:
  enabled: true
  certfile: # Do I first have to register and enroll at the TLS-CA and then restart all?
  keyfile:  # see above
  clientauth:
    type: RequireAndVerifyClientCert
    certfiles:
      - /config/tls-ca/tls-cert.pem # or /config/tls-ca/ca-cert.pem? Or empty?
ca:
  name: Org1CA
csr:
   cn: org1-ca

这感觉就像鸡蛋的问题，我不知道该用哪种文件。任何帮助都是非常感谢的。

亲切的问候

编辑附加问题：当TLS启用互TLS时，如何为fabric-ca-client颁发证书？它无法与服务器对话，因为证书丢失了，但它需要颁发证书.

Answer 1

好吧，我终于找到办法了。

1. 创建两个fabric-ca-server-config.yaml文件。一个用于CA，另一个用于TLS-CA部分： config/ca/fabric-ca-server-config.yaml： 端口: 7054 tls: enabled: true certfile: /config/ CA /tls-msp/signcerts/cert.pem密钥文件: /config/ca/tls-msp/keystore/key.pem clientauth: type: NoClientCert certfile：-/config/tls/ca-cert.pem ca: name: ca csr: cn: org1-ca config/tls-ca/fabric-ca-server-config.yaml： 端口: 7054 tls: enabled: true certfile：#左空密钥文件：#左空clientauth:类型: RequireAndVerifyClientCert certfiles：- /config/tls-ca/ca-cert.pem ca: name: TLSCA : cn: org1-ts-ca
2. 启动服务器： 导出fabric_ca_server_HOME=/config/tls导出FABRIC_CA_SERVER_TLS_CLIENTAUTH_TYPE=NoClientCert fabric-ca-server start -b tls-ca-admin:adminpw --b /config/ca/fabric-ca-server-config.yaml
3. 注册TLS-CA管理员 导出FABRIC_CA_CLIENT_TLS_CERTFILES=/config/tls-ca/ca-cert.pem导出fabric_ca_client_HOME=msps/org1 1/tls-ca-admin导出FABRIC_CA_CLIENT_MSPDIR=msp fabric-ca客户注册-d -u https://tls-ca-admin:adminpw@localhost:7054 -caname TLSCA
4. 为(签名材料-)ca和fabric-ca客户端创建TLS证书： 导出FABRIC_CA_CLIENT_TLS_CERTFILES=/config/tls-ca/ca-cert.pem导出FABRIC _ ca _ client _HOME=msps/org1 1/tls-ca-admin导出FABRIC_CA_CLIENT_MSPDIR=msp FABRIC-ca-客户机注册中心-d --id.name ca-id.security caPW -id.type client -u https://localhost:7054 -caname TLSCA fabric-ca-client注册中心-d -id.name ca-client -id.保密caclientPW -id.type client -u https://localhost:7054 --caname TLSCA导出结构_ca_ -u _HOME=msps/org1 1/ca导出FABRIC_CA_CLIENT_MSPDIR= tls -msp fabric-ca-client注册-u https://ca:caPW@localhost:7054 -caname TLSCA导出fabric_ca_client_HOME=msps/org1 1/ca-client fabric-ca-client -d -注册注册. tls -u https://ca-client:caclientPW@localhost:7054 --可以命名TLSCA
5. 将生成的TLS材料复制到CA的文件夹中： cp -r msps/org1/ca/tls-msp /config/org1/ca/
6. 关闭CA服务器并再次启动它： 导出fabric_ca_server_HOME=/config/tls导出FABRIC_CA_SERVER_TLS_CLIENTAUTH_TYPE=RequireAndVerifyClientCert fabric-ca服务器开始-cafile /config/ca/ fabric-ca-server -config.yaml
7. 注意:由于CA和TLS部分具有相同的端口，所以需要将--caname附加到每个fabric-ca-client命令中。否则，服务器不知道如何路由您的请求。