Установка и использование платформы
Общая настройка платформы: настройка режима работы¶
Тип и параметры используемого в блокчейне криптографического алгоритма задаются в разделе crypto
конфигурационного файла ноды. Раздел crypto
считывается для инициализации криптографии, которая происходит до чтения полного конфигурационного файла ноды.
Ниже приведён пример раздела crypto
:
crypto {
# Possible values: [WAVES, GOST]
type = GOST
pki {
# Possible values: [OFF, ON, TEST]
# Could be enabled with GOST crypto type only
mode = ON
required-oids = ["192.168.0.1.255.255.255.0"]
crl-checks-enabled = true
}
}
type
– режим работы; доступны значения:GOST
– работа с объектами PKI в соответствии с ГОСТ;WAVES
– тестовый режим ;
Значение GOST является обязательным;
pki
– группа полей настройки PKI:mode
– допустимые значения:on
,off
,test
; значенияon
иtest
допустимы только в случае, если параметрtype
имеет значениеGOST
. Если параметруmode
задано значениеon
, то выполняется проверка того, что TLS включён на сетевом уровне, то есть параметрnode.network.tls
имеет значениеtrue
.required-oids
– для дополнительного разграничения доступа возможно применять OID. Для этого в полеrequired-oids
укажите список значений (whitelist-список идентификаторов OID), наличие которых нода будет проверять в расширении (поле)ExtendedKeyUsage
сертификата. Этот список позволяет выделить из множества пользователей, выпустивших сертификат в одном и том же удостоверяющем центре (УЦ), тех пользователей, которым этот УЦ выдал OID специально для работы с блокчейн-платформой Конфидент. Параметр является обязательным при условии использования одного УЦ; в других случаях список идентификаторов OID может быть пустым. Если список не пуст, то он должен представлять собой массив строк, которые соответствуют стандартному формату OID. Например:required-oids = ["1.3.6.1.4.1.8.1.1","1.3.6.1.4.1.9.2.2"]
crl-checks-enabled
– флаг проверки списка отозванных сертификатов (CRL) при валидации сертификатов. Если параметру задано значениеtrue
, то криптопровайдер проверяет в удостоверяющем центре (УЦ), отозван сертификат или нет. Нода, которая синхронизируется с сетью, проверяет весь реестр, чтобы удостовериться в его целостности, то есть в корректности ЭП каждого блока. При проверке сертификатов нода использует списки CRL, валидные на момент подписания блока. Если нода находилась вне сети какое-то время, или новая нода подключается к сети, то она запрашивает у других нод скачанные ранее CRL.
Значение
true
является обязательным.
Важно
Группа полей pki
используется только с ГОСТ криптографией (то есть когда полю type
присвоено значение GOST
). При использовании waves криптографии (то есть когда полю type
присвоено значение WAVES
) этой группы полей не должно быть в конфигурационном файле ноды. Если параметры PKI не указаны, то PKI отключен.
Важно
Следующие значения настройки в разделе crypto
являются обязательными:
type=GOST
mode=ON
crl-checks-enabled = true