3.3.3. ノード間の暗号化通信の更新

本章では、ノード間通信で使用する証明書を更新したい場合の更新方法を説明します。

注釈

AWS MarketPlace経由にて、 mijin Catapult(v.2) をdeployした場合、 AWS Systems Manager Parameter Storeに初期データがバックアップされています。
以下のパラメータ値が更新対象となり、ノードとAWS Systems Manager Parameter Storeで差分が発生することに留意してください。
差分があることで、動作に影響することはありません。
・/デプロイ時に指定した冠名/shares/new-cert/各ノード/CA/[*].pem
・/デプロイ時に指定した冠名/shares/nemesis_addresses_harvesting.json
・/デプロイ時に指定した冠名/shares/nemesis_addresses_harvesting_voting.json
・/デプロイ時に指定した冠名/shares/nemesis_addresses_harvesting_vrf.json
作成日:

2022/10/11

更新日:

2022/10/11

3.3.3.1. mijin Catapult(v.2) のノード間の暗号化通信について

mijin Catapult(v.2) のノード間通信は、 TCPポート/7900 にてTLS1.3によるSSL暗号化通信を行い、認識しているノードのみ正しいノードとして通信を行います。
SSL通信には、自己署名の証明書が各ノードに適用されており、ノードは全てのノードの自己署名の証明書のKeyPairの公開鍵を事前に登録しています。
また、この自己署名の証明書から作成されたKeyPairは、ブロックチェーンを生成できる権限を持つアカウントとして使用されます。
../../_images/node_enc1.png

3.3.3.2. ノードのSSL証明書の更新方法

ノード間で使用するSSL証明書の更新の手順は以下です。

  1. CA及び署名ノードSSL証明書作成(ノード間の通信で使用)

  2. 1のSSL証明書のKeyPairから秘密鍵を取り出し、mijin Catapult(v.2) ブロックチェーン上にノードのブロック生成を有効にするトランザクションを発行

  3. 2の秘密鍵に紐づいた秘密鍵とファイナライズ用datファイルを作成し、2の秘密鍵と紐づけるトランザクションを発行

  4. 該当ノードにて、SSL証明書とdatファイルの置き換える。

  5. 全ノードのコンフィグにある対象ノードの公開鍵を2の鍵に置き換える。

警告

2022/10現在、SSL証明書の更新手順は複雑であり、環境ごとに異なるため、 mijin Support にお問合せください。
将来、ツールによる容易な更新方法を提供する予定です。