关于 Corda 网络权限的一些问题

Question

我对 Corda 网络权限有一些疑问。在 https://docs.corda.net/releases/release-V3.1/permissioning.html#id6 中创建根网络 CA 的密钥库和信任库部分

创建一个新的密钥对 这将用作根网络 CA 的密钥对 为密钥对创建自签名证书。基本约束扩展必须设置为 true 这将用作根网络 CA 的证书 创建一个新的密钥库并将根网络 CA 的密钥对和证书存储在其中以供以后使用 根网络 CA 将使用此密钥库来签署门卫 CA 的证书 创建一个名为 truststore.jks 的新 Java 密钥库，并使用别名 cordarootca 将根网络 CA 的证书存储在其中 然后必须稍后将此密钥库配置给各个节点，以便它们可以将其存储在其证书文件夹中。 我有三个问题：

1. 第一个问题是第 2 步中的“基本约束扩展”是什么意思？由于生成selfsignedCA的代码是X509Utilities.createSelfSignedCACertificate(subject, caKey)，所以我不知道在哪里可以配置这个参数。
2. 第二个是步骤3中的“keystore”和步骤4中的“Java keystore”有什么区别？这意味着第一个是“PEM”文件，第二个是“jks”文件？
3. 最后一个是我在第4步没有看到任何关于“别名”的参数。

顺便问一下，你能给我一些有用的代码来解决这些问题吗？

Answer 1

在我们的网络证书层次结构中，Corda 网络具有三种类型的证书颁发机构 (CA)：

1. 根网络 CA

2. CA 门卫

3. 每个节点还充当自己的 CA

所需的密钥对和证书在节点的 /certificates/ 文件夹中采用以下 Java 样式的密钥库（将来可能会更改以支持 PKCS#12 密钥库）的形式

层次解释可以参考示意图，

或者您可以在以下位置找到更多信息：https://docs.corda.net/docs/corda-enterprise/4.4/network/permissioning.html#key-pair-and-certificate-formats