Fabric-CA是什么工具

魁首哥

作者

Fabric-CA是什么工具

小编给大家分享一下Fabric-CA是什么工具，相信大部分人都还不怎么了解，因此分享这篇文章给大家参考一下，希望大家阅读完这篇文章后大有收获，下面让我们一起去了解一下吧！

Fabric-CA是Hyperledger Fabric自带的证书管理工具，对于开发和测试非常方便。在这个教程中我们将探索Fabric-CA的使用方法并利用它完成用户的注册/Register和登记/Enrollment。

Hyperledger Fabric是一个许可制的区块链平台，在访问Fabric网络之前必须先进行身份识别并获得访问许可。Fabric网络中的身份是使用数字证书实现的，因此需要CA来处理证书的管理。

虽然Hyperledger Fabric允许使用第三方CA软件来管理用户证书，但出于方便考虑也自带了一个Fabric CA工具可以作为Fabric网络中的CA。由于Fabric自带的应用实例都是使用Fabric CA，因此我们在这个教程中将探索Fabric CA，特别是它在用户注册登记中的应用。

在这片文章中，我们使用部署在First网络上的Fabcar应用，这个实例应用包含了链码和客户端应用，其中的enrolAdmin.js和registerUser.js实现了基于Fabric CA的注册登记。

为了让整个过程展示的更清晰，我们调整了代码。同时我们也会查看Fabric CA的数据库，以便更好的理解在登记和注册时Fabric CA的运行机制。

1、安装

我们需要一个Fabric节点来运行Fabric CA的演示，它应当包含Hyperledger Fabric相关的所有软件。如果你还没有Fabric节点，可以参考这篇文章创建一个。

一旦准备好了Fabric节点，可以运行如下命令启动Fabcar演示：

cdfabric-samples/fabcar./startFabric.sh

这个脚本会启动First网络，以及每个机构的CA。让我们先重点关注Org1的Fabric-CA。

我们使用Fabcar应用中的JavaScript代码，特别是enrollAdmin.js和registerUser.js，因为这两部分代码都是用SDK来访问Fabric CA和Fabric网络。

这就是First网络以及客户端应用与Fabric网络交互的示意。让我们再次关注ca_peerOrg1以及进行登记注册的代码。

2、Fabric CA注册登记代码

访问Fabric CA涉及到两个流程。登记（enrollment）指的是用户从指定CA请求并获取数字证书，注册（registration）通常由注册员完成，他负责告诉CA签发数字证书。

给用户签发数字证书有几种不同的方式。Fabcar脚本所采用的流程类似下面这样：

在Fabric CA中登记管理员，然后管理员收到签名私钥和证书，这些资料存放在 wallet/admin目录下
管理员在Fabric CA中注册user1，CA返回一个密文
CA返回的密文用于在Fabric CA中登记user1，登记后得到user1的签名私钥和证书。这些资料存放在wallet/user1目录下，将被用于后续执行链码交互（查询、交易）。

enrollAdmin.js执行步骤1，registerUser.js执行步骤2和3：

3、修改Fabric CA示例代码

我们没有修改enrollAdmin.js，它只是简单地使用默认地管理员信息（admin:adminpw），这些信息预置在fabric-samples/first-network/目录下的docker-compose-ca.yaml。结果就是admin的签名私钥和证书，保存在wallet/admin目录。

regsiterUser.js被拆分为两个文件：regUser.js和enrollUser.js，这么做的原因在于：

我们可以观察到Fabric CA用户注册和登记的差异之处。
我们可以看到这两个步骤实际上是由不同的角色执行的：注册步骤是由注册员（admin）操作，而登记步骤则是用户自己使用得到的密文来完成，这很重要，因为只有用户自己才可以知道密钥，管理员也不应当知道。
我们可以把代码中的硬编码部分抽出来作为参数，这可以让代码适应Fabric CA的其他应用场景。

下面是重写代码后的示意：

4、Fabric CA用户注册：regUser.js

regUser.js需要一个参数：登记ID，返回结果是一个密文，稍后该密文将用于用户登记。注意regUser.js的执行需要Fabric CA中存在admin钱包。

noderegUser.js<enrollmentID>

代码大部分拷贝自原来的registerUser.js：

/**SPDX-License-Identifier:Apache-2.0*/'usestrict';const{FileSystemWallet,Gateway,X509WalletMixin}=require('fabric-network');constpath=require('path');constccpPath=path.resolve(__dirname,'..','..','first-network','connection-org1.json');asyncfunctionmain(){try{//Createanewfilesystembasedwalletformanagingidentities.constwalletPath=path.join(process.cwd(),'wallet');constwallet=newFileSystemWallet(walletPath);console.log(`Walletpath:${walletPath}`);constuser=process.argv[2];//Checktoseeifwe'vealreadyenrolledtheuser.constuserExists=awaitwallet.exists(user);if(userExists){console.log('Anidentityfortheuser'+user+'alreadyexistsinthewallet');return;}//Checktoseeifwe'vealreadyenrolledtheadminuser.constadminExists=awaitwallet.exists('admin');if(!adminExists){console.log('Anidentityfortheadminuser"admin"doesnotexistinthewallet');console.log('RuntheenrollAdmin.jsapplicationbeforeretrying');return;}//Createanewgatewayforconnectingtoourpeernode.constgateway=newGateway();awaitgateway.connect(ccpPath,{wallet,identity:'admin',discovery:{enabled:true,asLocalhost:true}});//GettheCAclientobjectfromthegatewayforinteractingwiththeCA.constca=gateway.getClient().getCertificateAuthority();constadminIdentity=gateway.getCurrentIdentity();//Registertheuser,enrolltheuser,andimportthenewidentityintothewallet.constsecret=awaitca.register({affiliation:'org1.department1',enrollmentID:user,role:'client'},adminIdentity);console.log('Successfullyregistereduser'+user+'andthesecretis'+secret);}catch(error){console.error(`Failedtoregisteruser${user}:${error}`);process.exit(1);}}main();

5、Fabric CA登记用户：enrollUser.js

enrollUser.js需要两个参数，登记ID和注册时得到的密文，返回的结果是在wallet目录中创建的钱包。注意enrollUser.js的运行不需要Fabric CA中admin钱包的存在。该文件应当由用户自己执行。

nodeenrollUser.js<enrollmentID><secret>

代码大部分来自原始的enrollAdmin.js：

/**SPDX-License-Identifier:Apache-2.0*/'usestrict';constFabricCAServices=require('fabric-ca-client');const{FileSystemWallet,X509WalletMixin}=require('fabric-network');constfs=require('fs');constpath=require('path');constccpPath=path.resolve(__dirname,'..','..','first-network','connection-org1.json');constccpJSON=fs.readFileSync(ccpPath,'utf8');constccp=JSON.parse(ccpJSON);asyncfunctionmain(){try{//CreateanewCAclientforinteractingwiththeCA.constcaInfo=ccp.certificateAuthorities['ca.org1.example.com'];constcaTLSCACerts=caInfo.tlsCACerts.pem;constca=newFabricCAServices(caInfo.url,{trustedRoots:caTLSCACerts,verify:false},caInfo.caName);//Createanewfilesystembasedwalletformanagingidentities.constwalletPath=path.join(process.cwd(),'wallet');constwallet=newFileSystemWallet(walletPath);console.log(`Walletpath:${walletPath}`);constuser=process.argv[2];constsecret=process.argv[3];//Checktoseeifwe'vealreadyenrolledtheadminuser.constuserExists=awaitwallet.exists(user);if(userExists){console.log('Anidentityforthisuseralreadyexistsinthewallet');return;}//Enrolltheadminuser,andimportthenewidentityintothewallet.constenrollment=awaitca.enroll({enrollmentID:user,enrollmentSecret:secret});constidentity=X509WalletMixin.createIdentity('Org1MSP',enrollment.certificate,enrollment.key.toBytes());awaitwallet.import(user,identity);console.log(`Successfullyenrolleduser${user}andimporteditintothewallet`);}catch(error){console.error(`Failedtoenrolladminuser"admin":${error}`);process.exit(1);}}main();