Использование криптогена для производственной среды

Question

У меня есть вопрос, связанный с настройкой сети криптогенов и фабрики гиперледжеров. Я хочу объяснить мой рабочий процесс. Я хочу знать, что эту процедуру можно использовать для производства

1. I have 2organisation org1,org2.In which each organisation consist two peers,only one ordered for 
   both organisation and 2 fabric-ca server.
2. Generating the all the key pairs using the cryptogen tool using the crypto-config.yaml.
3. Generating genesis block and channel transaction using the configtx tool with configtx.yaml. 
4. (Important Note:)I am using the CA private key and certificate ca.org1.example.com-cert.pem, which is generated using the cryptogen tool in my network docker yaml file to setup the fabric ca.
5. After setup all i am running the network its works fine.
6. I am enrolling and registering the admin and user from the outside using the fabricnodesdk.

, здесь рекомендуется использовать криптоген генерировать секретный ключ и сертификат CA для настройки и запуска сервера CA в производстве. Если это не хорошая практика, есть ли другой способ, которым я могу это реализовать. Пожалуйста, ваше предложение будет полезно для меня.

Answer 1

Я считаю это грязным способом сделать это. Ваш Fabric-CA работает, и ваши заказчики и коллеги, разумеется, работают, потому что их сертификаты верны и надлежащим образом подписаны CA. Но дело в том, что идентификаторы, соответствующие заказчикам, партнерам и клиентам, сгенерированным вами с помощью криптогена, не были зарегистрированы в базе данных Fabric-CA, поэтому вы не можете ни управлять, ни отзывать эти идентификаторы и их соответствующие сертификаты через ваш Fabric-CA вбудущее.

Мой совет (конечно, для производственных сред): не ленитесь;позаботьтесь о правильной конфигурации fabric-ca-server-config.yaml и fabric-ca-client-config.yaml;безопасно запустить свой Fabric-CA;и создайте сценарий вашей первоначальной регистрации личности, регистрации сертификата и создания структуры папок MSP / TLS.

Answer 2

Документы Hyperledger Fabric предлагают не использовать инструмент криптогенеза для производственной среды

Причина : это инструмент, и все криптографические материалы создаются на лету со сроком действия 10 лет, и вы не можете контролировать дальшес Fabric-CA, например, отозвать, повторно зарегистрировать и т. д., поскольку Fabric-CA не будет иметь копию в базе данных

Традиционный способ: создание крипто-материала с помощью Fabric-CA путем регистрации и регистрации идентификатора со сроком действия 1 год

Но если вы примете мое мнение, я использовал инструмент криптоген 2 года назад в одной производственной среде. Использование криптогенного инструмента в работе не повредит, если вам не потребуется взаимодействовать с CA для внесения изменений в идентификационные данные. Это зависит от варианта использования в нашем сценарии использования. Нам не нужно постоянно изменять идентификаторы, которые были исправлены навсегда. Это был типичный сценарий использования

Но позже и сейчас я использовал fabric-CA и пользовательский CA для создания криптографических материалов, использующих больше возможностей