Использование настраиваемых политик на основе аффилированности в Hyperledger Fabric
Мне нужны 4 промежуточных центра сертификации для одноранговой организации: ICA1, ICA2, ICA3 and ICA4 - по одному на каждое подразделение узла (одноранговый узел, заказчик, администратор и клиент).
Скажем, если я поставлю ICA1 как cacerts в одноранговом узле OU конфигурации канала, тогда будет peer идентичность под другим ICA (ICA2, ICA3 или ICA4), быть в состоянии удовлетворить политику, которая говорит о подписи "OrgMSP.peer"?
- Если да, то как я могу убедиться, что только набор ролей в определенном отделе может соответствовать политике, заданной
OrgMSP.<role>? Я не хочу создавать определение MSP для каждого отдела или команды в организации. Итак, возможно ли это без этого? - Если нет, могу ли я также указать группу ICA в конфигурации узла OU канала для конкретного OU, чтобы я мог использовать очень сложные политики, например
"Signature of one-of 'OrgMSP.peer'"и скажем, что здесь,cacertsсобственность дляpeerOU будут ICA1 и ICA3. Это достижимо?
1 ответ
Когда вы указываете конфигурацию nodeOU, вы можете просто указать имя OU, соответствующее роли (похоже, это то, что вы сделали), или вы можете указать имя OU и выпускающий сертификат. Это может быть корневой ЦС или промежуточный ЦС, но в любом случае для выполнения этой роли в сертификате должны быть указаны как OU, так и выданный указанным ЦС.
Примечание. Каждая пара роль / сертификат информирует MSP о действительном издателе сертификатов, удовлетворяющих роли. Итак, если у вас есть CA1, CA2, ICA1 и ICA2, вы можете указать данную роль дважды: один раз для CA1 и один раз для ICA2. Тогда только сертификаты (напрямую), выпущенные CA1 или ICA2, могут соответствовать роли.
Если вы посмотрите на образец конфигурации MSP, вы увидите, что сертификат может быть указан, но по умолчанию опущен.
Вы можете увидеть более подробную информацию о том, как этот сертификат используется в реальной документации по прототипу.