Fabric-ca-server 是否支持代表客户端生成密钥对？

Question

从 Fabric CA 文档中可以清楚地看出，密钥生成发生在客户端（即，fabric-ca-client）端，并且生成的公钥（与 CSR 一起）发送到 CA（即，fabric-ca-server） ）进行认证。

另一种常见的 PKI 使用情况又如何呢？其中客户端仅发送 CSR，并让 CA 生成公钥和私钥，然后将公钥和私钥的证书返回给客户端？

Fabric CA 支持这个用例吗？如果是这样，我可以在哪里找到文档？

Answer 1

Fabric CA 看起来并不支持这个用例，这可以解释为什么它不在文档中。然而，Fabric 不依赖 Fabric CA 来创建其证书。您可以使用自己的流程来生成密钥和证书，只要密钥是 Fabric 支持的类型（ECDSA）即可。

Answer 2

因此，经过更多研究后，我得出以下结论（请注意 david_k 的评论，即您根本不必使用 Fabric CA Server）：

看起来，基于阅读，客户端生成的密钥有明显的偏好当前文档第 3.4.1 节（截至 2022 年 3 月 24 日）。

这就留下了密钥管理策略的问题，该策略似乎遵循 NIST 800-57，取自 https://henry-fabric.readthedocs.io/en/latest/Setup/ca-setup.html 即，

椭圆曲线 (ECDSA) 提供以下密钥大小选项：
大小 ASN1 OID 签名算法
256 prime256v1 带有 SHA256 的 ecdsa
第384章
521 secp521r1 ecdsa-with-SHA512

RSA 提供以下密钥大小选项：
大小 模数（位） 签名算法
2048 2048 sha256WithRSA加密
第4096章 4096

我猜测 Fabric-ca-server 正在强制执行此策略。