Hyperleder Fabric区块链支持在通信节点之间启用TLS传输层安全通信, TLS支持单向验证 - 仅验证服务节点身份,或双向验证 - 同时验证 服务节点和客户端节点的身份。本文将介绍如何在Hyperledger Fabric 网络中启用双向TLS安全通信。
1、TLS基本概念
TLS(Transport Layer Security),即传输层安全协议, 用于在两个通信节点之间提供保密性 和数据完整性,这是通过采用X.509证书进行身份验证并生成 会话密钥来实现的。
当一个节点A需要向另一个节点B发送消息时,需要满足以下 条件才能保证数据完整性和安全性:
- 身份确认:B应当可以确认消息来自A而不是C或D
- 数据加密:A以加密方式向B发送消息
服务节点会发送其X.509证书(及任何中间级CA证书)给客户端, 客户端使用其信任的某个根证书验证服务节点的身份。绝大多数 客户端使用Microsoft或Mozilla提供的可信根证书集。在此过程 结束后,客户端就可以确认服务节点的真实身份。
TLS应用非常广泛,例如,我们在使用浏览器访问https开头的网址时, 就是在使用TLS,TLS可以保证通信双方身份的确认并且建立一个双向的加密信道。
TLS不仅支持客户端对服务节点的身份验证,同时也可以支持服务 节点来验证客户端的身份,这就是我们所说的双向TLS身份验证, 在P2P通信环境中,双向TLS身份验证尤为必要:
2、为Orderer或Peer启用TLS双向身份验证
那么我们如何在Hyperledger Fabric中启用双向TLS?
排序节点(Orderer)要启用对客户端的身份验证,需要设置如下 环境变量:
对等节点(Peer)要启用对客户端的身份验证,需要设置如下 环境变量:
3、TLS连接Orderer或Peer的Node.js代码
用收到的客户端证书和密钥设置Client实例,该实例将会使用 这些密码学资料来提交给orderer和peer。
例如,下面的Node.js代码展示了如何设置client实例的TLS密码学资料,
然后如何创建启用TLS双向认证的orderer和peer实例。我们假设
client的PEM编码的TLS密钥和证书的路径分别是somepath/tls/client.key
和somepath/tls/client.crt:
如果出现验证问题,你会看到如下的错误信息:
1 | E0923 16:30:14.963494564 31166 ssl_transport_security.cc:188] ssl_info_callback: error occured. |
原文链接:hyperledger fabric mutual TLS
汇智网翻译整理,转载请标明出处