假设我们为客户端TLS证书提供了多个可信证书颁发机构。如何在CORE_PEER_TLS_CLIENTROOTCAS_FILES变量中指定多个CA?
这是通过将文件名与空格分开并用双引号括起每一个句子来完成的,例如:
CORE_PEER_TLS_CLIENTROOTCAS_FILES="file1 file2 file3"
另请注意,对等节点在加入通道时将从配置块中获取网络中其他组织的TLS_CLIENTROOTCAS。来自here:
当对等体加入通道时,从通道的配置块读取通道成员的根CA证书链,并将其添加到TLS客户端和服务器根CA数据结构中。
因此,对于实例化新对等节点与加入通道之间的时间间隔,日志将显示身份验证错误 - 来自其他组织的节点将无法连接到对等方。可以忽略这些错误,因为新的对等节点还没有其他组织的TLS_CLIENTROOTCAS。 CORE_PEER_TLS_CLIENTROOTCAS_FILES应该只拥有您控制的CA的证书,并且向您的组织的同行和用户提供TLS证书。