Hyperledger Fabric工具cryptogen介绍

简介

简单的说，cryptogen是用来生产fabric需要的证书的；这个生产过程是静态的。

和cryptogen工具对等的是CA服务，是一种动态的证书生产环境；在开发和测试阶段，在环境中不需要部署CA，因此可以简单的使用cryptogen工具，当然在运行环境中也可以不使用CA服务器，而继续使用cryptogen。

编译

$ export GOPATH=~/go
$ cd $GOPATH/src/github.com/hyperledger/fabric
$ make cryptogen
...
build/bin/cryptogen

运行结果就在当前的build/bin/cryptogen目录下。

如果在编译过程中遇到如下错误：

vendor/github.com/miekg/pkcs11/pkcs11.go:26:18: fatal error: ltdl.h: No such file or directory

那需要安装libtool-ltdl-devel包；在centos下可以运行下面命令，其他系统请自行上网查询：

$ sudo yum install -y libtool-ltdl-devel

使用

配置文件

cryptogen使用一个YAML格式的配置文件crypto-config.yaml

OrdererOrgs:
  - Name: Orderer
    Domain: example.com
    Specs:
      - Hostname: orderer
PeerOrgs:
  - Name: Org1
    Domain: org1.example.com
    Template:
      Count: 2
    Users:
      Count: 1
  - Name: Org2
    Domain: org2.example.com
    Template:
      Count: 2
    Users:
      Count: 2

命令行

$ cryptogen generate --config=./crypto-config.yaml

运行结果在当前目录下生产一个crypto-config目录，内容如下：

$ tree -L 2 crypto-config
crypto-config
├── ordererOrganizations
│   └── example.com
└── peerOrganizations
    ├── org1.example.com
    └── org2.example.com

每一个org生成一个目录(example.com, org1.example.com, org2.example.com)，org目录下面的内容是一致的，我们看任何一个目录即可，例如查看org2.example.com：

$ tree org2.example.com -L 2
org2.example.com
├── ca                  # 包含org的根证书和Key
│   ├── 2eb24f43416300254c6c3c4fbb6a306dc961cb0ccf05dc124cd8a198fe1107a8_sk
│   └── ca.org2.example.com-cert.pem
├── msp                 # 包含org的根msp信息
│   ├── admincerts
│   ├── cacerts
│   ├── config.yaml
│   └── tlscacerts
├── peers              # 包含org下面的所有peer的证书
│   ├── peer0.org2.example.com
│   └── peer1.org2.example.com
├── tlsca              # 包含org的根tlsca证书和key
│   ├── 7f6b5cf9dd03fd45c48b78a88f1ebb136b1ab55b7c4a58fdb15c59534d3ce2fd_sk
│   └── tlsca.org2.example.com-cert.pem
└── users              # 包含org下面所有用户的证书
    ├── Admin@org2.example.com      #管理员用户
    ├── User1@org2.example.com
    └── User2@org2.example.com

再看一下peer和user的证书，由于他们的结构是一样的，下面给一个user(User2)的证书例子：

$ tree org2.example.com/users/User2@org2.example.com/
org2.example.com/users/User2@org2.example.com/
├── msp              # msp证书
│   ├── admincerts
│   │   └── User2@org2.example.com-cert.pem    # 同org的admin证书
│   ├── cacerts
│   │   └── ca.org2.example.com-cert.pem       # 同org的ca根证书
│   ├── keystore
│   │   └── 8654e4f70a1e0c8231f17886622f9bbfb531123dee1eb46dfe7b1e9695a3469e_sk
│   ├── signcerts
│   │   └── User2@org2.example.com-cert.pem    # User2的MSP证书
│   └── tlscacerts
│       └── tlsca.org2.example.com-cert.pem    # 同org的tlsca根证书
└── tls
    ├── ca.crt                                 # 同org的tlsca根证书
    ├── client.crt                             # User2的 tls证书
    └── client.key                             # User2的 tls key

证书的扩展

当需要增加新的节点(peer)或者用户(user)的时候，需要为新节点/用户生成新的证书，当然老证书还得继续使用。这个时候需要用到extend命令。
第一步，修改./crypto-config.yaml配置文件，增加peer或者user的count。

  - Name: Org2
    Domain: org2.example.com
    Template:
      #Count: 2
      Count: 4
    Users:
      #Count: 2
      Count: 4

上述我们把peer和user扩展到4个。

$ cryptogen extend --config=./crypto-config.yaml

再看org2的成员：

$ tree -L 2 crypto-config/peerOrganizations/org2.example.com
crypto-config/peerOrganizations/org2.example.com
├── ca
│   ├── 2eb24f43416300254c6c3c4fbb6a306dc961cb0ccf05dc124cd8a198fe1107a8_sk
│   └── ca.org2.example.com-cert.pem
├── msp
│   ├── admincerts
│   ├── cacerts
│   ├── config.yaml
│   └── tlscacerts
├── peers
│   ├── peer0.org2.example.com
│   ├── peer1.org2.example.com
│   ├── peer2.org2.example.com
│   └── peer3.org2.example.com
├── tlsca
│   ├── 7f6b5cf9dd03fd45c48b78a88f1ebb136b1ab55b7c4a58fdb15c59534d3ce2fd_sk
│   └── tlsca.org2.example.com-cert.pem
└── users
    ├── Admin@org2.example.com
    ├── User1@org2.example.com
    ├── User2@org2.example.com
    ├── User3@org2.example.com
    └── User4@org2.example.com

peer2和 user2目录下面分别新增了两个目录；我们可以检查peer0/peer1/user1/user2的证书和原来是一样的，也就是没有更改已经签发的证书(包括根证书)，只是新增的需要的证书。