Установка и использование платформы

Общая настройка платформы: настройка режима работы

Тип и параметры используемого в блокчейне криптографического алгоритма задаются в разделе crypto конфигурационного файла ноды. Раздел crypto считывается для инициализации криптографии, которая происходит до чтения полного конфигурационного файла ноды.

Ниже приведён пример раздела crypto:

crypto {
  # Possible values: [WAVES, GOST]
  type = GOST
  pki {
     # Possible values: [OFF, ON, TEST]
     # Could be enabled with GOST crypto type only
     mode = ON
     required-oids = ["192.168.0.1.255.255.255.0"]
     crl-checks-enabled = true
  }
}
  • type – режим работы; доступны значения:

    • GOST – работа с объектами PKI в соответствии с ГОСТ;

    • WAVES – тестовый режим ;

    Значение GOST является обязательным;

  • pki – группа полей настройки PKI:

    • mode – допустимые значения: on, off, test; значения on и test допустимы только в случае, если параметр type имеет значение GOST. Если параметру mode задано значение on, то выполняется проверка того, что TLS включён на сетевом уровне, то есть параметр node.network.tls имеет значение true.

    • required-oids – для дополнительного разграничения доступа возможно применять OID. Для этого в поле required-oids укажите список значений (whitelist-список идентификаторов OID), наличие которых нода будет проверять в расширении (поле) ExtendedKeyUsage сертификата. Этот список позволяет выделить из множества пользователей, выпустивших сертификат в одном и том же удостоверяющем центре (УЦ), тех пользователей, которым этот УЦ выдал OID специально для работы с блокчейн-платформой Конфидент. Параметр является обязательным при условии использования одного УЦ; в других случаях список идентификаторов OID может быть пустым. Если список не пуст, то он должен представлять собой массив строк, которые соответствуют стандартному формату OID. Например:

      required-oids = ["1.3.6.1.4.1.8.1.1","1.3.6.1.4.1.9.2.2"]
      
    • crl-checks-enabled – флаг проверки списка отозванных сертификатов (CRL) при валидации сертификатов. Если параметру задано значение true, то криптопровайдер проверяет в удостоверяющем центре (УЦ), отозван сертификат или нет. Нода, которая синхронизируется с сетью, проверяет весь реестр, чтобы удостовериться в его целостности, то есть в корректности ЭП каждого блока. При проверке сертификатов нода использует списки CRL, валидные на момент подписания блока. Если нода находилась вне сети какое-то время, или новая нода подключается к сети, то она запрашивает у других нод скачанные ранее CRL.

    Значение true является обязательным.

Важно

Группа полей pki используется только с ГОСТ криптографией (то есть когда полю type присвоено значение GOST). При использовании waves криптографии (то есть когда полю type присвоено значение WAVES) этой группы полей не должно быть в конфигурационном файле ноды. Если параметры PKI не указаны, то PKI отключен.

Важно

Следующие значения настройки в разделе crypto являются обязательными:

type=GOST

mode=ON

crl-checks-enabled = true