| 파일/디렉토리 항목 | 설명 |
| config.yml | 범주화 된 인증 구성 및 역할 정의에 사용 (Node OUs: Node Organization Unions) |
| cacerts | 본 MSP 를 대표하는 org. 에서 신뢰하는 Root CA들의 자기-서명(self-signed)된 X.509 서명 인증서 리스트 필수로 한 개 이상의 Root CA 인증서 필요 |
| intermediatecerts | 본 org. 에서 신뢰하는 Intermediate CA 들의 X.509 서명 인증서 리스트 각 인증서는 본 MSP 의 Root CA 혹은 다른 Intermediate CA 에 의한 서명이 되어있어야 함 CA 체인은 마지막에 Root CA로 도달해야 함 |
| admincerts | * Fabric v1.4.3 및 그 이상 버전 부터는 사라질 예정 |
| keystore (private key) |
private key를 담고 있음 peer 나 orderer의 local MSP 를 위해 정의 되었음 endorsement 단계에서 transaction proposal response 서명과 같은 데이터 서명에 사용 channel MSP는 해당 디렉토리가 정의되어 있지 안흠 channel MSP는 오직 서명을 하지 않고 identity validation 기능 제공이 목적이기 때문 * 만약 HSM(Hardware Security Module) 키 관리를 사용한다면 해당 디렉토리는 비어있게 됨, 이는 private key가 HSM에서 생성 되기 때문 |
| signcert (public key) |
peer 나 orderer 에게 있어서 해당 디렉토리는 노드의 서명 키를 보유함 해당 키는 Node Identity 디레토리에 포함된 노드의 identity와 암호학적으로 매칭이 됨 이는 endorsement 단계에서 transaction proposal response와 같은 데이터에 서명하는데에 사용 본 디렉토리는 local MSP들에게 필수, 필수로 하나의 공개키를 포함해야 함 본 디렉토리로의 접근은 해당 peer에 권한이 있는 사용자의 identities에 대해서만으로 제한 channel MSP는 해당 디렉토리는 보유하지 않음 channel MSP는 오직 서명을 하지 않고 identity validation 기능 제공이 목적이기 때문 |
| tlscacert | 해당 디렉토리는 본 org에 의해 신뢰되는 Root CA들의 자기-서명(self-signed)된 X.509 인증서 리스트를 보유 이는 노드들 간에 TLS를 통한 안전한 통신을 하기 위한 목적으로 사용 예를 들어, orderer 로 부터 peer 노드에게 ledger update 를 받기 위해 연결시 사용 이는 peer 와 orderer와 같은 네트워크 내부 노드들에 관련 있음 해당 디렉토리에는 최소한 한 개의 TLS Root CA 인증서가 있어야 함 |
| tlsintermediatecacerts | 해당 디렉토리는 본 MSP를 대표하는 org. 에 의해 신뢰되는 CA들의 intermediate CA 인증서 리스트를 포함 이는 노드 간에 TLS를 활용한 안전한 통신을 위해 사용됨 본 디렉토리는 org. 의 TLS 인증을 위해 통상적인 CA들과 통신 할 때 사용됨 * intermediate TLS CA는 옵션 |
| operationscerts | 본 디렉토리는 Fabric Operation Service API 를 통해 통신 할 때 요구되는 인증서를 포함 |
| Revoked Certificates | channel MSP 에만 추가적으로 사용되는 디렉토리 actor의 identity가 revoke 되었을 때 본 디렉토리에 identifying 정보가 저장됨(identify 자체가 저장되는 것은 아님) X.509 기반의 identities 에 따르면, 이 identifier들은 Subject Key Identifier(SKI) 와 Authority Access Identifier(AKI) 로 알려진 스트링 쌍으로 이루어져 있음 인증서가 아직 revoke 되지 않았다는 것을 확인함 이는 개념적으로 CA의 Certificate Revocation List(CRL)과 동일함 그러나 이는 org. membership의 revocation 과도 연관이 있음 channel MSP의 관리자는 CA의 업데이트 된 CRL을 바로 전파함으로서 org.의 actor 혹은 node를 빠르게 revoke 시킬 수 있음 |
'Hyperledger Fabric' 카테고리의 다른 글
| [Paper Summary] Performance Benchmarking and Optimizing Hyperledger Fabric Blockchain Platform (0) | 2020.07.29 |
|---|---|
| [Hyperledger Fabric v2.0] Policies (0) | 2020.07.28 |
| [Hyperledger Fabric v2.0] Transaction Workflow (0) | 2020.07.27 |
| [Hyperledger Fabric v2.0] sample network 구축 (0) | 2020.07.23 |
| [Hyperledger Fabric v2.0] Network, Identity, MSP (0) | 2020.07.20 |
댓글