Мое понимание этого абзаца таково: MSP OrgX либо имеет список участников OrgX (так что участник сети может быть просто проверен по списку), либо, альтернативно, MSP определяет, какой центр сертификацииразрешено выдавать удостоверения для членов OrgX.Это понимание правильно?
Правильно.Но ... на практике единственными сертификатами, которые явно настроены в MSP, являются сертификаты администратора.Остальные не настроены и проверяются стандартной проверкой PKI x509 (поиск пути проверки для некоторого промежуточного или корневого ЦС), в то время как сертификаты администратора идентифицируются путем побайтного сравнения.
Если MSP OrgX определяет центр сертификации, которому разрешено выдавать удостоверения членам OrgX, то как это защищает сеть от нежелательных участников, входящих в систему?
Ожидается, что нежелательные участники не получатзакрытый ключ с соответствующим сертификатом, который используется OrgX.
Предположим, что MSP OrgX использует "Symantec" в качестве своего CA.Таким образом, каждый, кто имеет сертификат Symantec, считается участником OrgX и может участвовать в сети.Но что, если я (кто не является членом OrgX) получу сертификат от Symantec?Теперь я автоматически рассматриваюсь как эмблема OrgX и могу присоединиться к сети?
Если вы получаете закрытый ключ, соответствующий открытому ключу сертификата, выданного центром сертификации Symantec, и центр сертификации имеетсертификат, который настроен как корневой CA или промежуточный CA в конфигурации канала фабрики, затем - вы можете аутентифицироваться как участник OrgX.
Существуют MSP канала и локальные MSP.Согласно документам, MSP канала и локальный MSP определяют, какие идентификационные данные принадлежат определенной организации (например, OrgX).Но какой смысл создавать канал для узлов, если канал MSP содержит ту же информацию, что и локальный MSP (а именно - список идентификаторов)?
канал MSP не содержит того же самогоинформация как местный MSP.Локальный MSP содержит только информацию об организации, к которой принадлежит локальный узел MSP (одноранговый узел или заказчик)Однако - канал MSP, может содержать информацию о любой организации, которая является членом канала.На самом деле, канал имеет несколько MSP - по 1 для каждой организации!
Рассмотрим пример - у вас есть организации A, BC в канале Foo.Таким образом, в конфигурации канала будет 3 MSP, каждый из которых используется для проверки личности, принадлежащей соответствующей организации.