超级分类器结构:加入通道时是否需要传递TLS证书/密钥文件？

Question

我有一个从不同主机启动并运行的多个org网络结构网络。

对等点的码头容器已启用TLS。对等程序的构建配置：

- CORE_PEER_TLS_ENABLED=true
- CORE_PEER_TLS_CERT_FILE=/etc/hyperledger/fabric/tls/server.crt
- CORE_PEER_TLS_KEY_FILE=/etc/hyperledger/fabric/tls/server.key
- CORE_PEER_TLS_ROOTCERT_FILE=/etc/hyperledger/fabric/tls/ca.crt

在创建和加入通道时，我遵循byfn文档，在加入通道时没有提供对等方的TLS /文件。所有的同龄人都加入了这个频道。

但是，当我试图使用peer channel fetch newest -o orderer.example.com:7050 -c examplechannel获取最新的块时，我得到了错误：

服务器未能完成来自“ip:43402”的安全握手: tls:第一记录看起来不像TLS握手

此外，我使用上面的fetch命令在TLS上引用了这位医生，在传递对等方的TLS证书时使用了这位医生：

peer channel fetch newest -o orderer.example.com:7050 -c examplechannel --tls --certfile $CORE_PEER_TLS_CERT_FILE --keyfile $CORE_PEER_TLS_KEY_FILE --cafile $CORE_PEER_TLS_ROOTCERT_FILE

这产生了一个新的错误：

grpc: Server.Serve未能完成来自“ip:43496”的安全握手:远程错误: tls:错误证书

调试TLS问题文档指出，当服务器不信任客户端证书时，就会发生这种情况。因此，在我的例子中，我推断订购者不信任对等方正在传递的证书。

所以

1. 这是否意味着我应该通过TLS_CERT、TLS_KEY和TLS_ROOT证书，同时从这个对等点提议一个通道连接？
2. 如果#1是真的，我是否可以通过这些证书而不关闭网络并使用证书重新加入通道？
3. 在创建通道时，它使用orderer的ca-cert。另外，当提交锚对等事务时，它使用orderer的ca cert？那么，我是否也应该使用Orderer的ca cert作为对等获取命令？
4. 如果#3是真的，那么在生产环境中，我们是否需要构建对等容器，使其包含orderer的ca-cert？

Answer 1

在你的问题中有很多概念。重要的是要理解使用peer运行对等节点--peer node start--和使用peer作为CLI (例如peer channel fetch)是有区别的。

当对等方作为服务器运行时，不需要为通道传递密码材料，因为对等方实际上从peer channel join ...命令中传递的配置块中提取了所需的TLS证书信息。

当对等方在CLI模式下运行时，您确实需要提供TLS证书信息来连接到各个端点。在与对等方通信时，将从对等配置中提取此信息(无论是在core.yaml中还是从相应的CORE_环境变量中)。在与命令器通信时，有用于设置TLS材料的特定命令行标志。