MSPアイデンティ検証ルール

MSPの説明でも述べた通り、MSPはルート認証局 (rCA) と、オプショナルな中間認証局 (iCA) のセットで構成されます。 MSPのiCA証明書はそのMSPのrCAまたはiCAのうち いずれか1つのみ によって、署名されていなければなりません。 MSPの設定には証明書失効リスト (Certificate Revocation List, 略称CRL) が含まれる場合があります。 もしMSPのルート認証局のいずれかがCRLにリストされている場合には、MSPの設定にそのCRLにも含まれているiCAを含めないで下さい。 含めると、MSPのセットアップが失敗します。

各rCAは証明書ツリーのルートです。 つまり、各rCAは一つ以上のiCAの証明書の署名者であり、 これらのiCAは他のiCAまたはユーザ証明書の署名者になります。 以下にいくつかの例を示します:

        rCA1                rCA2         rCA3
      /    \                 |            |
   iCA1    iCA2             iCA3          id
    / \      |               |
iCA11 iCA12 id              id
 |
id

デフォルトのMSP実装では、適切な認証局によって署名されたX509証明書を有効なアイデンティティとして受け入れます。 上の図では、iCA11、iCA12、iCA2、iCA3そしてrCA3によって署名された証明書のみが有効とみなされます。 内部 (中間) ノードによって署名された証明書は拒否されます。

MSP設定で1つ以上の組織単位 (OU) が指定されている場合、証明書の有効性も同様に影響を受けることに注意してください。 MSP設定では、組織単位が、その組織単位を証明する認証局と実際の組織単位の識別子とを表す2つの値の ペア (親CAによって署名された証明書 (parent-cert)、OU文字列 (ou-string)) でそれぞれ指定されることに注意してください。 もし、MSP設定で指定されるある組織単位のための証明書Cが、あるiCAまたはrCAによって署名されている場合、 その他の要件の中で、CがOUフィールドの一部としてOU文字列を含んでいるときに、Cは有効とみなされます。