前置知識 fabric msp 基礎

節(jié)點構成.png

目錄結構中的所有文件，就是我們用cryptogen工具來生成的MSP需要用到的證書和相關文件。主要包括各種證書和相關的簽名。

org1.example.com/
├── ca     # 存放組織Org1的根證書和對應的私鑰文件，默認采用EC算法，證書為自簽名。組織內的實體將基于該根證書作為證書根。
│   ├── ca.org1.example.com-cert.pem
│   └── dfb841b77804d726eea25231ae5e89a31901ca0538688a6d764731148f0bdc5b_sk
├── msp    # 存放代表該組織的身份信息。
│   ├── admincerts         # 組織管理員的身份驗證證書，被根證書簽名。
│   │   └── Admin@org1.example.com-cert.pem
│   ├── cacerts # 組織的根證書，同ca目錄下文件。
│   │   └── ca.org1.example.com-cert.pem
│   └── tlscacerts          # 用于TLS的CA證書，自簽名。
│       └── tlsca.org1.example.com-cert.pem
├── peers   # 存放屬于該組織的所有Peer節(jié)點
│   ├── peer0.org1.example.com    # 第一個peer的信息，包括其msp證書和tls證書兩類。
│   │   ├── msp # msp相關證書   
│   │   │   ├── admincerts  # 組織管理員的身份驗證證書。Peer將基于這些證書來認證交易簽署者是否為管理員身份。
│   │   │   │   └── Admin@org1.example.com-cert.pem
│   │   │   ├── cacerts     # 存放組織的根證書
│   │   │   │   └── ca.org1.example.com-cert.pem
│   │   │   ├── keystore    # 本節(jié)點的身份私鑰，用來簽名
│   │   │   │   └── 59be216646c0fb18c015c58d27bf40c3845907849b1f0671562041b8fd6e0da2_sk
│   │   │   ├── signcerts   # 驗證本節(jié)點簽名的證書，被組織根證書簽名 
│   │   │   │   └── peer0.org1.example.com-cert.pem
│   │   │   └── tlscacerts  # TLS連接用到身份證書，即組織TLS證書
│   │   │       └── tlsca.org1.example.com-cert.pem
│   │   └── tls # tls相關證書
│   │       ├── ca.crt      # 組織的根證書
│   │       ├── server.crt  # 驗證本節(jié)點簽名的證書，被組織根證書簽名
│   │       └── server.key  # 本節(jié)點的身份私鑰，用來簽名
│   └── peer1.org1.example.com    # 第二個peer的信息，結構類似。（此處省略。）
│       ├── msp
│       │   ├── admincerts
│       │   │   └── Admin@org1.example.com-cert.pem
│       │   ├── cacerts
│       │   │   └── ca.org1.example.com-cert.pem
│       │   ├── keystore
│       │   │   └── 82aa3f8f9178b0a83a14fdb1a4e1f944e63b72de8df1baeea36dddf1fe110800_sk
│       │   ├── signcerts
│       │   │   └── peer1.org1.example.com-cert.pem
│       │   └── tlscacerts
│       │       └── tlsca.org1.example.com-cert.pem
│       └── tls
│           ├── ca.crt
│           ├── server.crt
│           └── server.key
├── tlsca    # 存放tls相關的證書和私鑰。
│   ├── 00e4666e5f56804274aadb07e2192db2f005a05f2f8fcfd8a1433bdb8ee6e3cf_sk
│   └── tlsca.org1.example.com-cert.pem
└── users    # 存放屬于該組織的用戶的實體
    ├── Admin@org1.example.com    # 管理員用戶的信息，其中包括msp證書和tls證書兩類。
    │   ├── msp # msp相關證書
    │   │   ├── admincerts     # 組織根證書作為管理員身份驗證證書 
    │   │   │   └── Admin@org1.example.com-cert.pem
    │   │   ├── cacerts        # 存放組織的根證書
    │   │   │   └── ca.org1.example.com-cert.pem
    │   │   ├── keystore       # 本用戶的身份私鑰，用來簽名
    │   │   │   └── fa719a7d19e7b04baebbe4fa3c659a91961a084f5e7b1020670be6adc6713aa7_sk
    │   │   ├── signcerts      # 管理員用戶的身份驗證證書，被組織根證書簽名。要被某個Peer認可，則必須放到該Peer的msp/admincerts目錄下
    │   │   │   └── Admin@org1.example.com-cert.pem
    │   │   └── tlscacerts     # TLS連接用的身份證書，即組織TLS證書
    │   │       └── tlsca.org1.example.com-cert.pem
    │   └── tls # 存放tls相關的證書和私鑰。
    │       ├── ca.crt       # 組織的根證書
    │       ├── server.crt   # 管理員的用戶身份驗證證書，被組織根證書簽名
    │       └── server.key   # 管理員用戶的身份私鑰，被組織根證書簽名。
    └── User1@org1.example.com    # 第一個用戶的信息，包括msp證書和tls證書兩類
        ├── msp # msp證書相關信息
        │   ├── admincerts   # 組織根證書作為管理者身份驗證證書。
        │   │   └── User1@org1.example.com-cert.pem
        │   ├── cacerts      # 存放組織的根證書
        │   │   └── ca.org1.example.com-cert.pem
        │   ├── keystore     # 本用戶的身份私鑰，用來簽名
        │   │   └── 97f2b74ee080b9bf417a4060bfb737ce08bf33d0287cb3eef9b5be9707e3c3ed_sk
        │   ├── signcerts    # 驗證本用戶簽名的身份證書，被組織根證書簽名
        │   │   └── User1@org1.example.com-cert.pem
        │   └── tlscacerts   # TLS連接用的身份證書，被組織根證書簽名。
        │       └── tlsca.org1.example.com-cert.pem
        └── tls # 組織的根證書
            ├── ca.crt       # 組織的根證書
            ├── server.crt   # 驗證用戶簽名的身份證書，被根組織證書簽名
            └── server.key   # 用戶的身份私鑰用來簽名。

總結下來，MSP的peer&Orderer節(jié)點配置就是，在每一個Peer節(jié)點和排序服務節(jié)點上設置MSP目錄，放入相關的證書和簽名公私鑰，然后在對應的配置文件中，設置msp文件路徑。Peer節(jié)點和排序服務節(jié)點就有了簽名證書，在通道節(jié)點之間傳輸數(shù)據時，要驗證節(jié)點的簽名，從而實現(xiàn)證書的驗證和簽名。