超级分类器织物八卦认证RemotePeer的证书散列

Question

我是一个新的超级分类账结构，我有一个问题，流言的远程同侪认证。因为我们的服务器位于内部网络(无法访问internet)，所以我们需要在对等节点之前设置一个nginx，假设一个orderer，2个org，每个组织只有一个对等点，peer0.org 1(Peer01)，peer0.org 2(Peer02)，peer0.org 2，peer0.org 1是我们的内部对等节点，它需要通过nginx路由，包含流言并启用mtls。如果我们有peer0.org 2的私钥和证书，它应该可以工作，配置如下所示。

peer01 nginx{

    ssl_certificate        peer02 server crt;
    ssl_certificate_key    peer02 server key;
    ssl_client_certificate peer01 client ca crt;


    location / {
        grpc_pass              to peer02

        grpc_ssl_certificate         peer01 client crt;
        grpc_ssl_certificate_key     peer01 client key;
        grpc_ssl_trusted_certificate  peer02 server ca.crt;

}

但是实际上我们不能拥有peer0.org 2的私钥，所以我们尝试使用peer01 01的ca cert分配peer0.org2'cert和密钥，它们属于peer01、peer01-peer02.crt、peer01-peer02.key。

peer01 nginx{

    ssl_certificate        peer01-peer02 server crt;
    ssl_certificate_key    peer01-peer02 server key;
    ssl_client_certificate peer01 client ca crt;


    location / {
        grpc_pass              to peer02

        grpc_ssl_certificate         peer01 client crt;
        grpc_ssl_certificate_key     peer01 client key;
        grpc_ssl_trusted_certificate  peer02 server ca.crt;

}

但是在织物八卦源代码中，我们发现我们不能做这个在这里输入图像描述

它将验证远程证书之间的散列(我认为它是从通道获得的)和重新生成msg'cert，因此最终会发生错误，无法工作。

我的解决方案是删除这些验证代码并重新构建对接程序，但我不知道重新构建哪个码头图像可以工作，是面料同行吗，有些人能告诉我，在fabric中的每个对接者将使用源代码中的哪个包吗？或者可以告诉我比修改源代码更好的解决方案？我必须说我们需要使用tls。很多东西。

Answer 1

是的，这确实是原因，至于：

我的解决方案是删除这些验证代码并重新构建对接程序，但我不知道重新构建哪个码头图像可以工作，是面料同行吗，有些人能告诉我，在fabric中的每个对接者将使用源代码中的哪个包吗？

您可以删除代码并执行make peer-docker，它将使用更新的代码构建一个新的停靠器映像。

至于修复官方结构中的“问题”，您可以查看法布-8131并提高对此的认识，因为社区没有支持它的实现。

您可以考虑的另一件事是使用非TLS终止代理。