搭建基于hyperledger fabric的联盟社区（八） --Fabric证书解析

一.证书目录解析

通过cryptogen生成所有证书文件后，以peerOrgannizations的第一个组织树org1为例，每个目录和对应文件的功能如下：

ca: 存放组织的根证书和对应的私钥文件，默认采用EC算法，证书为自签名。组织内的实体将基于该证书作为证书根。

tlsca:存放组织tls连接用的根证书和私钥文件。（TLS是传输层安全协议，其实就是SSL，现在叫TLS了）

msp：存放代表该组织的身份信息。

admincerts:组织管理员的身份验证证书，被根证书签名。

cacerts:组织的根证书，同ca目录下文件。

tlscacerts:用于TLS的ca证书，自签名。

peers:存放属于该组织的所有peer节点。

peer0：第一个peer的信息，包括其msp证书和TLS证书两类。

msp:

admincerts：组织管理员的身份验证证书。peer将基于这些证书来认证交易签署这是否为管理员身份。

cacerts：组织的根证书.

keystore:本节点的身份私钥，用来签名。

signcerts：验证本节点签名的证书，被组织根证书签名。

tlscacerts：TLS连接用的身份证书，即组织TLS证书。

tls:存放tls相关的证书和私钥

ca.crt:组织的根证书

server.crt:验证本节点签名的证书，被组织根证书签名。

server.key：本节点的身份私钥，用来签名。

peer1:第二个peer的信息，结构类似。（省略）

users：存放属于该组织的用户的实体。

Admin：管理员用户的信息，包括其msp证书和tls证书两类。

msp:

admincerts：组织根证书作为管理者身份验证证书。

cacerts：组织的根证书.

keystore:本用户的身份私钥，用来签名。

signcerts：管理员用户的身份验证证书，被组织根证书签名。要被某个Peer认可，则必须放到该peer的msp/admincerts下。

tlscacerts：TLS连接用的身份证书，即组织TLS证书。

tls:存放tls相关的证书和私钥

ca.crt:组织的根证书

server.crt:管理员的用户身份验证证书，被组织根证书签名。

server.key：管理员用户的身份私钥，用来签名。

User1:第一个用户的信息，包括msp证书和tls证书两类。

msp：

admincerts：组织根证书作为管理者身份验证证书。

cacerts：组织的根证书.

keystore:本用户的身份私钥，用来签名。

signcerts：验证本用户签名的身份证书，被组织根证书签名。

tlscacerts：TLS连接用的身份证书，即组织TLS证书。

tls:存放tls相关的证书和私钥

ca.crt:组织的根证书

server.crt:验证用户签名的身份证书，被组织根证书签名。

server.key：用户的身份私钥，用来签名。

User2：第二个用户的信息，结构类似（省略）

二.证书内容解析

查看证书文件（实际上，数字证书就是经过CA认证过的公钥）的标准为X.509，编码格式为pem，以-----BEGIN开头,以-----END结尾。X.509 数字证书不但包括用户名和公共密钥，而且还包括有关该用户的其他信息。除了扩展名为PEM的还有以下这些：

CRT ：应该是certificate的三个字母，还是证书的意思。打开看也是pem编码格式。

KEY：用来存放一个公钥或私钥，并非X.509证书。打开看依然PEM格式。

证书的默认签名算法为ECDSA，Hash算法为SHA-256。Fabric中设计中考虑了三种类型证书：

登记证书（ECert）：颁发给提供了注册凭证的用户或节点实体，长期有效。（主要就是通ECert对实体身份检验）

通信证书（TLSCert）：TLS证书用来保障通信链路安全，控制对网络层的接入访问，可以对远端实体身份校验，防止窃听。

交易证书（TCert）：颁发给用户，控制每个交易的权限，一般针对某个交易，短期有效。（此功能fabric还暂未启用）

在chaincode里可以通过shim API的GetCreator函数提取调用当前交易的客户端的身份证书，使用GO语言的pem包将证书解码，然后使用x.509包解析证书中的信息。