Uploaded image for project: 'Fabric'
  1. Fabric
  2. FAB-18171

Certificate expiration - Allow looser matching on orderer TLS consenter certs

    XMLWordPrintable

Details

    • Unset
    • Unset
    • Unset

    Description

      排序者的群集服务通过 X.509 TLS 证书标识群集中的其他许可者。它执行一个字节,用于将提供给 TLS 连接的证书与从通道配置中知道的 TLS 证书进行比较。

      不幸的是,这使得轮换证书变得非常具有挑战性,尤其是在处理良性过期而不是密钥泄露时。由于订购者可能是许多通道的成员,因此为了轮换排序者的TLS证书,通常必须停止,更改TLS证书,更改所有通道以识别新的TLS证书,然后重新启动。对于数十个或数百个通道的成员的订购者,通道配置更新可能需要相当长的时间,并且执行起来非常复杂(需要从多方收集签名等)。

      如果 TLS 证书的私钥仍然安全,但只有颁发的证书即将过期,则应可以基于相同的公钥/私钥对颁发新的 TLS 证书,但具有新的有效到期日期。在这种情况下,我们可以通过放宽连接验证来避免通道配置更新和相关的复杂性,以仅检查证书的公钥,而不是整个证书字节集。这应该仍然是安全的,因为只有身份的所有者才能创建(和使用)具有相应公钥字节的新证书,并且它将允许排序器简单地使用新证书重新启动,而不是要求跨所有通道进行通道配置更新。

      验收标准:我们应该能够启动基于 Raft 的网络(只有系统通道才可以),停止一个节点,使用相同的私钥续订其证书,然后重新启动该节点。节点应作为许可方集的一部分恢复同意,而无需重新配置通道。

      Attachments

        Issue Links

          Activity

            People

              yacovm Yacov Manevich
              jyellick Jason Yellick
              Votes:
              0 Vote for this issue
              Watchers:
              2 Start watching this issue

              Dates

                Created:
                Updated:
                Resolved: