fiscoBcos落盘加密实践
落盘加密详细讲解
- 下载依赖包
# In Centos
sudo yum install procps-ng-devel
sudo yum install curl-devel
# In ubuntu
sudo apt-get install libprocps-dev curl libcurl4-openssl-dev
# In ArchLinux
sudo pacman -S procps-ng
- 拉取工具包并进行构建
选择想要放key-manager文件的文件夹,拉取工具包并进行拉取文件夹内新建build文件
git clone https://github.com/FISCO-BCOS/key-manager.git
cd key-manager && mkdir build && cd build
# For Centos
cmake3 …
# cmake3 … -DBUILD_GM=On #When building “guomi” key-manager
# For ubuntu
cmake …
# cmake … -DBUILD_GM=On #When building “guomi” key-manager
make
#The execution: “key-manager” generated.
- 直接启动key-manager,启动成功后会打印日志
在build目录下执行以下命令:
./key-manager 8150 123xyz
这里还有一个命令就是:
nohup ./key-manager 8150 123xyz > nohup.out 2>&1 &
如果使用nohup命令就之间将服务挂载到后台了,就可以关闭当前终端。
- 不要关闭当前的终端,重新在开一个终端并执行脚本,定义自己的密码(我这里定义的是mima1),获取到cipherDataKey。
在/root/fisco目录下进行一下操作:
cd key-manager/scripts
bash gen_data_secure_key.sh 127.0.0.1 8150 mima1
- 配置dataKey(注:配置dataKey的节点,必须是新生成的,未启动过的节点)要加密那个节点就修改那个节点的config.ini文件
切换到/root/fisco/node/127.0.0.1/node0路径下
输入以下命令:
vim config.ini
- 切换到scripts文件夹并启动脚本定义对需要加密的节点密钥进行加密
切换回到key-manager/scripts目录下:
cd …/…/key-manager/scripts
bash encrypt_node_key.sh 127.0.0.1 8150 /root/fisco5/nodes/127.0.0.1/node0/conf/node.key 1100966220cc567b44c15e946aef7c08
- 启动加密的节点
切换回到节点并启动节点:
cd …/…/nodes/127.0.0.1/node0/
bash start.sh
总结
点并启动节点:
cd …/…/nodes/127.0.0.1/node0/
bash start.sh
总结
落盘加密首首先使用keyManager用密码生成了了一个cipherDataKey,在将这个私钥配置到节点的配置文件中,并启用了keyManager服务。并用生成的cipherDataKey加密节点私钥。这样节点本身不会在本地磁盘中存储datakey,而是存储了加密过后的cipherDataKey。节点启动后在拿cipherDataKey向key Manager请求获取到datakey,而datakey只存在节点 的内存中,当节点关闭后,datakey自动丢弃。
腾讯云开发者
