## Using ECC Workload Certificates ## (pilot-agent environmental variables) Jacob Delgado / Aspen Mesh ## I stioCon ## ECC workload certificates - In various environments, the need for x509 certificates certificates that use Elliptical Curve Cryptography (ECC) is a requirement - In Istio 1.6, support for workloads to use ECC certificates for mTLS in sidecar-to-sidecar communication was added - As of Istio 7+, 1.8.2+ and 1.9.0+ there is no longer the restriction that a plugged in CA certificate must use ECC cryptography (using ECDSA P-256) to use this feature • Only ECDSA P-256 is supported ## pilot-agent

$$ $$ 文档 $$ - Governance-Key 私钥管理组件： $$ GitHub $$ $$ Gitee $$ $$ 文档 $$ - Governance-Cert 证书管理组件: [GitHub] [Gitee] [文档] • WeEvent 基于区块链的分布式事件驱动架构： $$ GitHub $$ $$ Gitee $$ $$ 文档 $$ • W 、对账、监管等数据治理方面的关键能力。 - 区块链多方协作治理组件解决方案：可无缝适配FISCO BCOS的区块链治理组件解决方案。首批开源的四个组件分别从私钥丢失重置、合约权限细粒度管控、私钥和证书的全生命周期管控等方面着手，提供了可部署的智能合约代码、易于使用的SDK和可参考的落地实践Demo等交付物。 - 区块链应用开发组件解决方案：一套开放、轻量的开发组件集，覆盖智能合约的开发、调试、 curve25519VRFVerify。 ## 修复 - 修复 issue 1951，解决节点接收非法 P2P 消息包异常崩溃的问题。 - 修复在极端异常情况下，共识模块死锁的问题。 • 修复节点通过证书解析机构名错误的问题(issue 1894)。 • 修复在ARM机器上LevelDB编译失败的问题。 ## 兼容性 FISCO BCOS 2.8.0可编译出两个版本，普通版(2.8.0)，硬件加密版（2

Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书或密钥等。 ##### 1.1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求 (CSR) 来恢复 kubectl 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 - 建议您在 Ignition 配置文件生成后的 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 control plane 机器引导所需的远程资源。（如果自己配置基础架构，则需要人工干预）

ne Config Operator才能更改机器。安装程序使用Ignition配置文件设置每台机器的确切状态，安装后则由Machine Config Operator完成对机器的更多更改，例如应用新证书或密钥等。 ## 1.1.3. OpenShift Container Platform 安装的常见术语表 术语表定义了与安装内容相关的常用术语。参阅以下术语列表以更好地了解安装过程。 ## 支持的安装程序 配置文件包含在24小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在24小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper证书签名请求(CSR)来恢复 kubelet证书。如需更多信息，请参阅从过期的 control plane证书中恢复的文档。 - 建议您在 Ignition 配置文件生成后的12小时内使用它们，因为24小时的证书会在集 群安装后的16小时到22小时进行轮转。通过在12小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。 ## bootstrapp 集群涉及以下步骤： 1. bootstrap机器启动并开始托管control plane机器引导所需的远程资源。如果您置备基础架构，此步骤需要人工干预。 2. bootstrap 机器启动单节点 etcd 集群和一个临时

Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书或密钥等。 ##### 1.1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证书签名请求（CSR）来恢复 kubectl 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 - 建议您在生成 12 小时后使用 小时后使用 Ignition 配置文件，因为集群安装后 24 小时证书从 16 小时轮转至 22 小时。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中运行证书更新时避免安装失败。 bootstrapp 集群涉及以下步骤： 1. bootstrap 机器启动并开始托管 control plane 机器引导所需的远程资源。（如果自己配置基础架构，则需要人工干预） 2. bootstrap

128|否，仅以IP核的形式存在于芯片中|智能IC卡、智能密码钥匙、加密卡、加密机等| |Sm2|GB/T 32918-2016ISO/IEC 10118-3:2018|ECC加解密，签名验签，密钥交换|非对称加密|128|ECC|是|TLCP、区块链等场景，用于签名验签等| |Sm3|GM/T 0004-2012ISO/IEC 10118-3:2018|计算密码杂凑|哈希|256|SHA256| 泛应用于电子政务、电子商务及国民经济的各个应用领域（包括国家政务通、警务通等重要领域）。 ## SM2 Introduction of SM2 - SM2 为椭圆曲线（ECC）公钥加密算法，非对称加密，提供加解密、数字签名、证书生成、密钥交换功能。由于以上用例，也常用于区块链或网络安全密码协议，如 SSL/TLS、VPN。 • 保证数据机密性、真实性和完整性。 - SM2 算法和 RSA 算法都是公钥加密算法，SM2 A = B^{n} $ ，求数n |Bits of security|Symmetric key algorithms|FFC (e.g., DSA, D-H)|IFC (e.g., RSA)|ECC (e.g., ECDSA)| |---|---|---|---|---| |80|2TDEA $ ^{18} $|L = 1024N = 160|k = 1024|f = 160-223| |112|3TDEA|L

• 支持Channel Message v2协议 • 节点连接支持域名配置 • 部署合约的二进制长度放宽至256K • 交易出错打印更全面的日志 • build_chain.sh生成的SDK证书名更名为sdk.crt和sdk.key - 为提升性能进行了代码实现细节的调整 • 降低了节点内存的占用 ## 修复 - 修复了在某种场景下channel连接抛异常的错误 ## 兼容性 向 e端口。 cp -n console/conf/applicationContext-sample.xml console/conf/applicationContext.xml • 配置控制台证书 cp nodes/127.0.0.1/sdk/* console/conf/ ## 启动控制台 启动 cd ~/fisco/console && bash start.sh 系统的配置，包括创世块配置、运行时参数配置，日志配置等，进行多方互联配置，包括节点准入配置、端口发现、共 识参与方列表等，客户端和开发者工具配置，包括控制台、SDK等，这个过程会包括许多细节，如各种证书和公私钥的管理等，很容易出现环境、版本、配置的差错，导致整个过程复杂、繁琐和反复，形成了较高的使用门槛。 如何将以上步骤简化和加速，使构建和组链过程变得简便，快速，不容易出错，且低成本，需要从以下

• 支持Channel Message v2协议 • 节点连接支持域名配置 • 部署合约的二进制长度放宽至256K • 交易出错打印更全面的日志 • build_chain.sh生成的SDK证书名更名为sdk.crt和sdk.key - 为提升性能进行了代码实现细节的调整 • 降低了节点内存的占用 ## 修复 - 修复了在某种场景下channel连接抛异常的错误 ## 兼容性 向 e端口。 cp -n console/conf/applicationContext-sample.xml console/conf/applicationContext.xml • 配置控制台证书 cp nodes/127.0.0.1/sdk/* console/conf/ ## 启动控制台 启动 cd ~/fisco/console && bash start.sh 系统的配置，包括创世块配置、运行时参数配置，日志配置等，进行多方互联配置，包括节点准入配置、端口发现、共 识参与方列表等，客户端和开发者工具配置，包括控制台、SDK等，这个过程会包括许多细节，如各种证书和公私钥的管理等，很容易出现环境、版本、配置的差错，导致整个过程复杂、繁琐和反复，形成了较高的使用门槛。 如何将以上步骤简化和加速，使构建和组链过程变得简便，快速，不容易出错，且低成本，需要从以下

• 支持Channel Message v2协议 • 节点连接支持域名配置 • 部署合约的二进制长度放宽至256K • 交易出错打印更全面的日志 • build_chain.sh生成的SDK证书名更名为sdk.crt和sdk.key - 为提升性能进行了代码实现细节的调整 • 降低了节点内存的占用 ## 修复 - 修复了在某种场景下channel连接抛异常的错误 ## 兼容性 向 e端口。 cp -n console/conf/applicationContext-sample.xml console/conf/applicationContext.xml • 配置控制台证书 cp nodes/127.0.0.1/sdk/* console/conf/ ## 重要 - 如果控制台配置正确，但是在CentOS系统上启动控制台出现如下错误： Failed to connect 系统的配置，包括创世块配置、运行时参数配置，日志配置等，进行多方互联配置，包括节点准入配置、端口发现、共 识参与方列表等，客户端和开发者工具配置，包括控制台、SDK等，这个过程会包括许多细节，如各种证书和公私钥的管理等，很容易出现环境、版本、配置的差错，导致整个过程复杂、繁琐和反复，形成了较高的使用门槛。 如何将以上步骤简化和加速，使构建和组链过程变得简便，快速，不容易出错，且低成本，需要从以下