peer节点既是TLS服务器又是TLS客户端。 当另一个peer节点,应用程序或CLI与其建立连接时,它是前者, 在与另一个peer节点或orderer建立连接时他是后者。
在peer节点上启用TLS,需要 设置以下属性:
默认情况下,peer点上启用TLS时,将关闭TLS客户端身份验证。 这意味着peer节点在TLS握手期间不会验证客户端(另一个peer节点,应用程序或CLI)的证书。 要在peer节点上启用TLS客户端身份验证,请将peer配置属性peertlsclientAuthRequired设置为true,并将peertlsclientRootCAsfiles属性设置为包含CA证书链的CA链文件 为你的组织的客户颁发TLS证书。
通过设置以下环境变量,也可以启用具有客户端身份验证的TLS:
在peer节点上启用客户端身份验证时,客户端需要在TLS握手期间发送其证书。 如果客户端未发送其证书,则握手将失败,并且peer将关闭连接。
当peer加入通道时,从通道的配置块读取通道成员的根CA证书链,并将其添加到TLS客户端和服务器根CA数据结构中。 因此,peer对peer通信,peer对orderer通信应该无缝地工作。
要在orderer节点上启用TLS,请设置以下orderer配置属性:
默认情况下,在orderer上关闭TLS客户端身份验证,就像peer一样。 要启用TLS客户端身份验证,请设置以下配置属性:
通过设置以下环境变量,也可以启用具有客户端身份验证的TLS:
对启用TLS的peer节点运行peer CLI 命令时,必须设置以下环境变量:
如果在远程服务器上也启用了TLS客户端身份验证,则除上述变量外,还必须设置以下变量:SSL连接也就是说,利用SSL证书进行>
ATS必须满足的条件
服务器支持 TLSv 12 协议
PFS(完全正向保密)ECDHE
服务器 *** 作系统版本要求(支持TLS12)
WIN 2008 R2 IIS 7 以上版本
CentOS 6+ OpenSSL 101c+
Apache 24 +
Nginx 106+
JDK17
tomcat7056+
关于>
SSL证书,也称为服务器SSL证书,是遵守SSL协议的一种数字证书,由全球信任的证书颁发机构(沃通CA)验证服务器身份后颁发。将SSL证书安装在网站服务器上,可实现网站身份验证和数据加密传输双重功能。
1、实现加密传输
用户通过>
安装SSL证书后,使用>
2、认证服务器真实身份
钓鱼欺诈网站泛滥,用户如何识别网站是钓鱼网站还是安全网站?网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)