? ? 前面幾個(gè)章節(jié)恢暖，講解了 config.ini 中 rpc, p2p 這兩個(gè)重要的配置項(xiàng)氮块，現(xiàn)在我們來講解下剩余的配置項(xiàng)的作用了赌。也可以查看?官網(wǎng)?了解詳細(xì)信息割按。

1.?certificate_blacklist?

? ??查看?nodes/127.0.0.1/node0/config.ini 文件悟狱，可以看到有一個(gè)?certificate_blacklist 配置項(xiàng)静浴。我們演示下這個(gè)配置項(xiàng)的作用

? ? 首先進(jìn)入?nodes/127.0.0.1/node1/conf 目錄，使用?cat node.nodeid 命令查看 node1 的 nodeid挤渐。 nodeid 是就是每個(gè)節(jié)點(diǎn)的身份證苹享，用于唯一的區(qū)別每個(gè)節(jié)點(diǎn)。????

同時(shí)浴麻，我查看下 node1 的的 p2p? 端口得问，方便進(jìn)行結(jié)果查驗(yàn)。進(jìn)入到?nodes/127.0.0.1/node1 目錄白胀，查看 config.ini 文件中的?listen_port, 這里我們看到 node1 的 listen_port 是 30301。

?這里獲取到 node1 的 nodeid 和 listen_port 后抚岗，再次進(jìn)入到?nodes/127.0.0.1/node0/log 目錄或杠。首先，我們查看下 node0 和 node1? 的 p2p 連接宣蔚。執(zhí)行如下命令向抢，首先 ls -lrt 獲取最新的日志文件

? ? 然后使用 grep 命令查看和 node0 和 node1 的連接。這里胚委，我們看到和 30301 （ 即 node1 ） 節(jié)點(diǎn)的 p2p 連接正常

進(jìn)入 nodes/127.0.0.1/node0 挟鸠，編輯 config.ini 文件如下。這里我們現(xiàn)在只添加來一條記錄亩冬，如果要添加多條記錄艘希，依次增加 crl.1,? crl.2? ,? crl.3 等等硼身。 編輯成功后，重啟 node0 覆享。重點(diǎn)提醒佳遂，修改配置后要記得重啟節(jié)點(diǎn)。

? ? 重啟 node0 成功撒顿。

? ? 進(jìn)入?nodes/127.0.0.1/node0/log 目錄丑罪，使用 lrt 獲取最新的日志文件，然后 grep 30301 查看連接信息凤壁。這里吩屹，我們看到node0 拒絕和 node1 建立連接。所以從這里我們可以看到拧抖，?certificate_blacklist 的作用就是把目標(biāo)節(jié)點(diǎn)拉黑煤搜。這個(gè)配置可能用到的場(chǎng)景是，比如當(dāng)前你這個(gè)節(jié)點(diǎn)下面有很多小弟節(jié)點(diǎn) 比如 （100 個(gè) )徙鱼，這些小弟節(jié)點(diǎn)通過你這個(gè)節(jié)點(diǎn)和其他的節(jié)點(diǎn)建立連接宅楞，但有一天，你和其中的幾個(gè)小弟鬧翻來袱吆，你想把他們拉黑厌衙，這時(shí)就可以通過這個(gè)?????certificate_blacklist? 配置項(xiàng)進(jìn)行。

? ? 最后绞绒，我們還原下 node0/node1/node2/node3 中的 config.ini 配置婶希，以便為后續(xù)實(shí)驗(yàn)做好準(zhǔn)備。

2.?certificate_whitelist

????介紹了?certificate_blacklist ,? 那么 certificate_whitelist 就很好理解了蓬衡。certificate_whitelist 的作用和?certificate_blacklist 正好相反喻杈，當(dāng)配置了?certificate_whitelist 時(shí)，只有?certificate_whitelist 中的節(jié)點(diǎn)允許和當(dāng)前節(jié)點(diǎn)連接狰晚，其他節(jié)點(diǎn)請(qǐng)求連接時(shí)筒饰，會(huì)被拒絕。

? ? 那么壁晒，又有另一個(gè)問題了瓷们，當(dāng)?certificate_blacklist 和?certificate_whitelist 同時(shí)配置時(shí)，并且其中配置了相同的 nodeid 時(shí)秒咐，會(huì)出項(xiàng)什么情況呢谬晕。官網(wǎng)?中進(jìn)行明確說明。 “黑名單與白名單混合配置：黑名單優(yōu)先級(jí)高于白名單携取，白名單配置的基礎(chǔ)上拒絕與node1建立連接“?

3.?group 配置項(xiàng)

? ? group 這里的配置項(xiàng)意義很簡(jiǎn)單攒钳，就是節(jié)點(diǎn)的數(shù)據(jù)目錄和配置文件存放的路徑。這里一般沒有特殊需要雷滋，我們不用進(jìn)行修改不撑。這里有一點(diǎn)需要注意的時(shí)文兢，如果節(jié)點(diǎn)配置的存儲(chǔ)方式為 mysql ，那么數(shù)據(jù)就全部存儲(chǔ)在 mysql 中燎孟，?group_data_path 這個(gè)配置項(xiàng)就沒有什么作用禽作。在后續(xù)的文章中，會(huì)介紹 mysql 等各種存儲(chǔ)方式? ? ? ??

4.?network_security

? ? 這個(gè)配置項(xiàng)也很簡(jiǎn)單揩页，就是證書的存放路徑旷偿，這里的配置也很少進(jìn)行修改。

? 5.?storage_security

? ? 這個(gè)配置項(xiàng)時(shí)數(shù)據(jù)存儲(chǔ)時(shí)是否需要加密的意思爆侣。因?yàn)楣?jié)點(diǎn)數(shù)據(jù)都是明文存儲(chǔ)萍程，特別時(shí)當(dāng)你的節(jié)點(diǎn)存儲(chǔ)模式配置為 mysql 的時(shí)候，任何人只要能登陸到 mysql 兔仰，就可以查看你其中存儲(chǔ)的數(shù)據(jù)茫负。這個(gè)配置項(xiàng)就是對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，然后存儲(chǔ)的本地磁盤或是 mysql 中乎赴。那么具體怎么加密呢忍法，讓我們來進(jìn)行實(shí)驗(yàn)下。 也可以參考?官方文檔? 查看對(duì)應(yīng)說明榕吼。

5.1 重置鏈

????實(shí)驗(yàn)之前我們先還原下所有的配置和鏈 （ 如果已經(jīng)還原饿序，可以跳過此步驟 ）

? ? 進(jìn)入?nodes/127.0.0.1 目錄，執(zhí)行 ./stop_all.sh 停止羹蚣，所有的節(jié)點(diǎn)原探。

? ? 刪除所有節(jié)點(diǎn)數(shù)據(jù)。好了至此顽素，我們的準(zhǔn)備工作已經(jīng)完成咽弦，先不啟動(dòng)節(jié)點(diǎn)，等 key-manager 啟動(dòng)之后胁出，還需要進(jìn)行相應(yīng)的配置型型。

rm -rf node*/data node*/log

5.2 編譯 & 啟動(dòng) key-manager

去 git 上下載?key-manager?, 然后進(jìn)行根據(jù)提示進(jìn)行安裝。首先安裝一下依賴

# In Centos

sudo yum install procps-ng-devel

sudo yum install curl-devel

# In ubuntu

sudo apt-get install libprocps-dev

# In ArchLinux

sudo pacman -S procps-ng

? ? 進(jìn)行編譯

git clone https://github.com/FISCO-BCOS/key-manager.git

cd key-manager && mkdir build && cd build

# For Centos

cmake3 ..

# Notice: There are ".." behind. # cmake3 .. -DBUILD_GM=On #When building "guomi" key-manager

# For ubuntu

cmake ..

# Notice: There are ".." behind. # cmake .. -DBUILD_GM=On #When building "guomi" key-manager

make

#The execution: "key-manager" generated.

? ? 啟動(dòng) key-manager全蝶。

? ? 開啟另一個(gè)命令行窗口闹蒜，進(jìn)入到?key-manager/scripts 目錄，然后執(zhí)行如下命令裸诽。然后我們就可以看到如下輸出嫂用。

bash gen_data_secure_key.sh 127.0.0.1 8150 123456

5.3 加密節(jié)點(diǎn)私鑰

進(jìn)入 key-manager/scripts 目錄型凳，執(zhí)行如下命令丈冬。注意，這里命令行最后一個(gè)參數(shù)就是上面的 cipher_data_key甘畅。其中 "/root/fisco/nodes/127.0.0.1/node0/conf/node.key"? ?為 node0 的 node.key 文件所在路徑埂蕊。至此我們 key-manager 的操作已經(jīng)完成了往弓。下面就可以去節(jié)點(diǎn)處進(jìn)行相應(yīng)的配置。

bash encrypt_node_key.sh 127.0.0.1 8150 /root/fisco/nodes/127.0.0.1/node0/conf/node.key ed157f4588b86d61a2e1745efe71e6ea

5.4 配置?storage_security

? ? 進(jìn)入?nodes/127.0.0.1/node0 目錄蓄氧，修改 config.ini 配置文件函似。注意這里的 config.ini 中?storage_security 需要和我們剛剛執(zhí)行?gen_data_secure_key.sh? 產(chǎn)生的配置需要保持一致。

5.5 啟動(dòng)節(jié)點(diǎn)

現(xiàn)在我們就可以啟動(dòng)我們的節(jié)點(diǎn)了喉童。在 nodes/127.0.0.1 目錄下撇寞，執(zhí)行 start_all.sh , 我們看到 node0 啟動(dòng)成功了。這里感覺和普通的節(jié)點(diǎn)啟動(dòng)沒有什么不一樣的啊堂氯。還沒有完呢蔑担。

? ? ? ? 如果我們把 key-mananger 進(jìn)程關(guān)掉，然后再此啟動(dòng)節(jié)點(diǎn)試試咽白。進(jìn)入 key-manager 的終端窗口啤握，然后 ctrl + c 關(guān)閉 key-manager 進(jìn)程。

? ? ? ? 然后晶框，進(jìn)入到?nodes/127.0.0.1/node0 目錄排抬，重啟下。我們可以看到授段，stop 成功后蹲蒲，啟動(dòng)節(jié)點(diǎn)時(shí)，節(jié)點(diǎn)啟動(dòng)失敗了畴蒲。那么悠鞍，這里證明了我們的第一個(gè)想法，配置了落盤加密的節(jié)點(diǎn)模燥，啟動(dòng)時(shí)必須要連接對(duì)應(yīng)的 key-manager 才行咖祭。

? ? 下面證明下我們的第二個(gè)才想，當(dāng)啟動(dòng)的 key-manager 對(duì)應(yīng)的 superkey 不匹配時(shí)蔫骂，節(jié)點(diǎn)能否啟動(dòng)成功么翰。進(jìn)入到?key-manager/build 目錄，然后使用如下命令啟動(dòng)辽旋。注意浩嫌，這里我們使用的 superkey 為 123xyz111 ，而且之前啟動(dòng)使用的 superkey 為 123xyz 补胚。

? ? 之后码耐，進(jìn)入到?nodes/127.0.0.1/node0 目錄，啟動(dòng) node0 節(jié)點(diǎn)溶其。我們看到啟動(dòng)還是失敗了骚腥。那么這里證明了第二個(gè)猜想，key-manager 啟動(dòng)時(shí)瓶逃，superkey 要匹配束铭，節(jié)點(diǎn)才能啟動(dòng)成功廓块。不然節(jié)點(diǎn)啟動(dòng)失敗

5.6 總結(jié)

? ?落盤加密的目的時(shí)保護(hù)數(shù)據(jù)，防止數(shù)據(jù)被盜取后契沫，他人讀取節(jié)點(diǎn)中的數(shù)據(jù)带猴。

5.7 還原 node0

? ? 為了后續(xù)的實(shí)驗(yàn)，我們這里要還原下 node0 的配置懈万。首先拴清，進(jìn)入到? nodes/127.0.0.1/node0 , 然后修改 config.ini 文件內(nèi)容如下 ,? 修改?storage_security 中的 enable 為 false。?

? ? 然后進(jìn)入到??nodes/127.0.0.1/node0/conf 執(zhí)行如下命令会通。這里我們看到 conf 目錄下有兩個(gè) node.key 文件贷掖。其中 node.key.bak.xxxx 是 key-manager 進(jìn)行的備份文件，我們需要把這個(gè) bak 文件還原渴语。

? ? 再次進(jìn)入?nodes/127.0.0.1/node0 目錄執(zhí)行如下命令苹威。注意這里我們需要 rm -rf data 即刪除 node0 的數(shù)據(jù)文件，然后讓 node0 去其他節(jié)點(diǎn)同步所有的數(shù)據(jù)過來驾凶。我會(huì)在后續(xù)的文章中講解節(jié)點(diǎn)之間的數(shù)據(jù)同步牙甫。這里大家可以先不用詳細(xì)了解，也可以去 FISCO 官網(wǎng)進(jìn)行詳細(xì)了解调违。

? ? 當(dāng)然還有一個(gè)簡(jiǎn)單的辦法窟哺，就是在??fisco/nodes/127.0.0.1/ 目錄下 ./stop_all.sh 停止所有進(jìn)程，然后刪除 nodes 目錄技肩，之后重新搭建一條鏈即可且轨。