使用CFCA证书部署节点

使用前建议阅读证书说明

购买前注意事项

普通版FISCO BCOS节点使用的节点证书算法为EC secp256k1曲线
国密版FISCO BCOS节点使用的节点证书算法为SM2
用户向CFCA购买前请确认签发算法是否正确
购买前请确认证书用途、节点信息已经填写正确
使用前请确认已经安装openssl 1.0.2k以上版本
cfca申请的ca.crt--node.crt二级证书结构与fisco bcos自带工具生成的三级证书结构互相兼容，用户可直接使用cfca签发的二级证书作为节点或sdk的证书使用

建议用户结合白名单机制一起使用

本地生成证书请求文件

普通证书操作流程

根据CFCA的要求，生成节点私钥node.key和节点证书node.crt

生成的私钥会存储在node.key中，生成后私钥示例如下：

注意，节点私钥需要私密存储，部署区块链网络时需要用到私钥，每个节点都需要独立的私钥

将此步生成的证书请求文件node.csr发送给CFCA，得到PEM格式的证书node.crt，同时，CFCA会给你返回一个验证的根证书ca.crt

最终得到的节点证书node.crt示例如下：

开始部署FISCO BCOS节点

部署前需要先获取所有节点的证书，并使用FISCO BCOS企业级部署工具，完成下载安装的操作，操作过程与文档类似。

本节中，我们将部署如下图所示的节点网络：

机器环境

每个节点的IP，端口号为如下：

机构	节点	所属群组	P2P地址	RPC/channel监听地址
机构A	节点0	群组1、2	127.0.0.1:30300	127.0.0.1:8545/:20200
	节点1	群组1、2	127.0.0.1:30301	127.0.0.1:8546/:20201
	节点2	群组1	127.0.0.1:30302	127.0.0.1:8547/:20202
	节点3	群组1	127.0.0.1:30303	127.0.0.1:8548/:20203

重要

针对云服务器中的vps服务器，RPC监听地址需要写网卡中的真实地址(如内网地址或127.0.0.1)，可能与用户登录的ssh服务器不一致。

获取generator

cd ~/ && git clone https://github.com/FISCO-BCOS/generator.git

安装依赖

cd ~/generator && bash ./scripts/install.sh

普通版部署教程

我们假设用户上述过程中生成了4个节点证书，分别放置为~/cert/node_127.0.0.1_30300，~/cert/node_127.0.0.1_30301，~/cert/node_127.0.0.1_30302，~/cert/node_127.0.0.1_30303路径下，每个目录包含以下文件

node_127.0.0.1_30300 # 节点证书存放文件夹，名称必须为node_ip_port
├── cert_127.0.0.1_30300.crt # 节点证书，名称必须为cert_ip_port.crt
├── node.key # 节点私钥，名称必须为node.key

拷贝节点证书路径

cp -r ~/cert/node_127.0.0.1_30300 ./meta

cp -r ~/cert/node_127.0.0.1_30301 ./meta

cp -r ~/cert/node_127.0.0.1_30302 ./meta

cp -r ~/cert/node_127.0.0.1_30303 ./meta

生成群组创世区块

将上一步所有节点的节点证书node.crt拷贝至meta文件夹下

cp ./meta/node_127.0.0.1_30300/cert_127.0.0.1_30300.crt ./meta

cp ./meta/node_127.0.0.1_30301/cert_127.0.0.1_30301.crt ./meta

cp ./meta/node_127.0.0.1_30302/cert_127.0.0.1_30302.crt ./meta

cp ./meta/node_127.0.0.1_30303/cert_127.0.0.1_30303.crt ./meta

填写group_genesis.ini，教程中采用默认ip
生成群组创世区块

./generator --create_group_genesis ./group

生成的group.1.genesis即为群组创世区块

修改节点配置文件

```bash
cat > ./conf/node_deployment.ini << EOF
[group]
group_id=2
[node0]
; host ip for the communication among peers.
; Please use your ssh login ip.
p2p_ip=127.0.0.1
; listen ip for the communication between sdk clients.
; This ip is the same as p2p_ip for physical host.
; But for virtual host e.g. vps servers, it is usually different from p2p_ip.
; You can check accessible addresses of your network card.
; Please see https://tecadmin.net/check-ip-address-ubuntu-18-04-desktop/
; for more instructions.
rpc_ip=127.0.0.1
p2p_listen_port=30300
channel_listen_port=20200
jsonrpc_listen_port=8545
[node1]
p2p_ip=127.0.0.1
rpc_ip=127.0.0.1
p2p_listen_port=30301
channel_listen_port=20201
jsonrpc_listen_port=8546
[node2]
p2p_ip=127.0.0.1
rpc_ip=127.0.0.1
p2p_listen_port=30302
channel_listen_port=20202
jsonrpc_listen_port=8547
[node3]
p2p_ip=127.0.0.1
rpc_ip=127.0.0.1
p2p_listen_port=30303
channel_listen_port=20203
jsonrpc_listen_port=8548
EOF


-   生成节点

echo “” >> ./meta/peers.txt

./generator —build_install_package ./meta/peers.txt ./nodeA


查看生成节点配置文件夹：

ls ./nodeA

命令解释此处采用tree风格显示

生成的文件夹nodeA信息如下所示，

├── monitor # monitor脚本 ├── node_127.0.0.1_30300 # 127.0.0.1服务器端口号30300的节点配置文件夹 ├── node_127.0.0.1_30301 ├── node_127.0.0.1_30302 # 127.0.0.1服务器端口号30300的节点配置文件夹 ├── node_127.0.0.1_30303 ├── scripts # 节点的相关工具脚本 ├── start_all.sh # 节点批量启动脚本 └── stop_all.sh # 节点批量停止脚本