Hyperledger Fabric 二三事 - 公钥基础结构

公钥基础结构

公钥基础结构（PKI）是一组互联网技术，可在网络中提供安全通信。

PKI有四个关键要素：

• 数字证书
• 公钥和私钥
• 证书授权中心
• 证书撤销列表

数字证书

数字证书是包含与证书持有者相关的属性的文档。最常见的证书类型是符合 X.509标准的证书，它允许在其结构中编码一些用于身份识别的信息。

证书中包含着公钥，但私钥是由CA保存，对外不可见。

授权，公钥和私钥

传统的身份验证机制依赖于数字签名，顾名思义，它允许一方对其消息进行数字签名。数字签名还可以保证签名消息的完整性。

证书授权中心

人员或节点能够通过由系统信任的机构为其发布的数字身份参与区块链网络。在最常见的情况下，数字身份（或简称身份）的形式为，符合 X.509 标准并由证书授权中心（CA）颁发的经加密验证的数字证书。

CA 是互联网安全协议的常见部分，你可能已经听说过一些比较流行的协议：Symantec（最初是 Verisign），GeoTrust，DigiCert，GoDaddy 和 Comodo 等。

CA 也有一个证书，它们可以广泛使用。这就可以让从给定 CA 获取身份证书的消费者验证自己的身份，因为只有对应的私钥才可以生成该证书。

根 CA，中间 CA 和信任链

CA 有两种形式：根 CA和中间 CA 。因为根 CA（Symantec，Geotrust等）必须安全地向互联网用户颁发数亿个证书，所以将这个过程分散到所谓的中间 CA 中是很有用的。这些中间 CA 具有由根 CA 或其他中间 CA 颁发的证书，允许为链中的任何 CA 颁发的任何证书建立“信任链”。追溯到根 CA 的能力不仅让 CA 的功能在仍然提供安全性的同时进行扩展（允许使用证书的组织充满信心地使用中间 CA），还限制了根 CA 的暴露，如果根 CA 受到损害，将会危及整个信任链。另一方面，如果中间 CA 受到损害，则曝光量会小得多。

中间 CA 在跨多个组织颁发证书时提供了巨大的灵活性，这在许可的区块链系统（如Fabric）中非常有用。例如，你将看到不同的组织可能使用不同的根 CA，或者使用具有不同中间 CA 的相同根 CA，这取决于网络的需求。

证书撤销列表（CRL）

当第三方想要验证另一方的身份时，它首先检查颁发 CA 的 CRL 以确保证书尚未被撤销。验证者不是必须要检查 CRL，但如果不检查，则他们冒着接受无效身份的风险。

请注意，被撤销的证书与证书过期非常不同。撤销的证书尚未过期，按其他方式来说，它们是完全有效的证书。