TLS и clientAuthRequired безопасности операций для матрицы

Question

У меня есть два вопроса о безопасности работы фабрики.

1. В официальной документации (https://hyperledger -fabric.readthedocs.io / en / latest / operations_service.html? Highlight = security# operations-security ), в нем говорится: «Когда TLS включен, для доступа ко всем ресурсам должен быть предоставлен действительный сертификат клиента, если иное не указано явно ниже».Означает ли это, что когда я получаю доступ к операции RESTFUL API (например, GET / logspec) с помощью curl или POSTMAN, мне нужно предоставить сертификат клиента, верно?Если это так, сертификат клиента должен быть сгенерирован в соответствующем центре сертификации организации, верно?

2. В документации также говорится: «Когда clientAuthRequired также включен, для уровня TLS требуется действительный сертификат клиента независимо отдоступ к ресурсу. "Я не могу понять, в чем разница между конфигурацией «TLS» и «clientAuthRequired».Может ли какой-нибудь эксперт сказать мне это?

Большое спасибо!

Answer 1

1. Да ... это означает, что когда TLS включен, вам потребуется клиентский сертификат (если не указано иное, это означает, что конечная точка /healthz не требует клиентского сертификата).Сертификат клиента должен быть выдан центром сертификации, настроенным с использованием свойства operations.tls.clientRootCAs.files для партнера и / или свойства Operations.TLS.RootCAs для заказчика.

2. Если clientAuthRequired включено,тогда для всех конечных точек потребуется сертификат клиента (опять же, сейчас это означает, что для /healthz потребуется сертификат клиента).