怎么在Hyperledger Fabric網絡中啟用雙向TLS安全通信

這篇文章給大家分享的是有關怎么在Hyperledger Fabric網絡中啟用雙向TLS安全通信的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

1、TLS基本概念

TLS（Transport Layer Security），即傳輸層安全協(xié)議，用于在兩個通信節(jié)點之間提供保密性和數據完整性，這是通過采用X.509證書進行身份驗證并生成會話密鑰來實現的。

當一個節(jié)點A需要向另一個節(jié)點B發(fā)送消息時，需要滿足以下條件才能保證數據完整性和安全性：

• 身份確認：B應當可以確認消息來自A而不是C或D

• 數據加密：A以加密方式向B發(fā)送消息

服務節(jié)點會發(fā)送其X.509證書（及任何中間級CA證書）給客戶端，客戶端使用其信任的某個根證書驗證服務節(jié)點的身份。絕大多數客戶端使用Microsoft或Mozilla提供的可信根證書集。在此過程結束后，客戶端就可以確認服務節(jié)點的真實身份。

TLS應用非常廣泛，例如，我們在使用瀏覽器訪問https開頭的網址時，就是在使用TLS，TLS可以保證通信雙方身份的確認并且建立一個雙向的加密信道。

TLS不僅支持客戶端對服務節(jié)點的身份驗證，同時也可以支持服務節(jié)點來驗證客戶端的身份，這就是我們所說的雙向TLS身份驗證，在P2P通信環(huán)境中，雙向TLS身份驗證尤為必要：

2、為Orderer或Peer啟用TLS雙向身份驗證

那么我們如何在Hyperledger Fabric中啟用雙向TLS？

排序節(jié)點（Orderer）要啟用對客戶端的身份驗證，需要設置如下環(huán)境變量：

對等節(jié)點（Peer）要啟用對客戶端的身份驗證，需要設置如下環(huán)境變量：

3、TLS連接Orderer或Peer的Node.js代碼

用收到的客戶端證書和密鑰設置Client實例，該實例將會使用這些密碼學資料來提交給orderer和peer。

例如，下面的Node.js代碼展示了如何設置client實例的TLS密碼學資料，然后如何創(chuàng)建啟用TLS雙向認證的orderer和peer實例。我們假設client的PEM編碼的TLS密鑰和證書的路徑分別是somepath/tls/client.key和somepath/tls/client.crt：

如果出現驗證問題，你會看到如下的錯誤信息：

E0923 16:30:14.963494564 31166 ssl_transport_security.cc:188] ssl_info_callback: error occured.

E0923 16:30:14.963567129 31166 ssl_transport_security.cc:989] Handshake failed with fatal error SSL_ERROR_SSL: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate.
E0923 16:30:15.964456710 31166 ssl_transport_security.cc:188] ssl_info_callback: error occured.

感謝各位的閱讀！關于“怎么在Hyperledger Fabric網絡中啟用雙向TLS安全通信”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！