使用非Fabric CA作为Fabric CA的父级

Question

是否可以使用通用公共CA (如DigiCert)或任意非fabric CA作为中间fabric ca服务器的父服务器？官方医生似乎认为，你只使用织物CA作为父母。

这个问题背后的意图是减轻单一根CA的集中化性质。

编辑：我所说的“非Fabric CA”是指除Fabric CA之外可以充当CA的任何实现，例如OpenSSL。

​

​

Answer 1

是的，您可以使用第三方证书作为根(RCA)来生成中间证书(ICA)。您可以将Fabric CA配置为使用ICA颁发对等/订购者证书。

织物CA用户指南

如果希望Fabric CA服务器使用您提供的CA签名证书和密钥文件，则必须将文件分别放在ca.certfile和ca.keyfile引用的位置。这两个文件都必须是PEM编码的，不能加密.更具体地说，CA证书文件的内容必须以-开始证书-而密钥文件的内容必须以-开始私钥-而不是-开始加密的私钥-。

在这里查看样例Fabric Config文件。属性ca.certfile、ca.keyfile和ca.chainfile在启动CA服务器之前必须指向ICA。

样例织物控制文件