Azure 기밀 원장 노드는 처리 중인 데이터의 기밀성을 보장하는 Intel SGX와 같은 TEE(신뢰할 수 있는 실행 환경) 위에서 실행됩니다. 플랫폼과 플랫폼 내에서 실행되는 이진 파일의 신뢰성은 원격 증명 프로세스를 통해 보장됩니다. Azure 기밀 원장에서는 네트워크에 참여하기 전에 노드가 견적을 제시해야 합니다. 견적 보고서 데이터에는 노드의 ID 공개 키와 MRENCLAVE 값의 암호화 해시가 포함되어 있습니다. 견적이 유효한 것으로 확인되고 MRENCLAVE 값이 감사 가능한 거버넌스에서 허용되는 값 중 하나인 경우 노드는 네트워크에 조인할 수 있습니다.
필수 조건
- Ubuntu 20.04-LTS 64-bit
- CCF 또는 CCF Python 패키지를 설치합니다.
- Open Enclave 호스트 확인 SDK를 설치합니다.
- jq 설치
노드 견적 확인
서비스 ID 다운로드
클라이언트가 연결된 노드의 ID를 확인하고 안전한 통신 채널을 설정하는 데 사용됩니다. 다음 명령은 서비스 ID를 다운로드하고 형식을 지정한 후 service_cert.pem에 저장합니다.
curl https://identity.confidential-ledger.core.azure.com/ledgerIdentity/<ledgername> --silent | jq '.ledgerTlsCertificate' | xargs echo -e > service_cert.pem
견적 확인
노드 견적은 https://<ledgername>.confidential-ledger.azure.com에서 다운로드할 수 있으며 Open Enclave SDK 또는 verify_quote.sh 스크립트와 함께 제공되는 oeverify 도구를 사용하여 확인할 수 있습니다. CCF 설치 또는 CCF Python 패키지와 함께 설치됩니다. 스크립트 및 지원되는 매개 변수에 대한 자세한 내용은 verify_quote.sh를 참조하세요.
/opt/ccf_virtual/bin/verify_quote.sh https://<ledgername>.confidential-ledger.azure.com:443 --cacert service_cert.pem
스크립트는 노드의 ID 공개 키(DER 인코딩)의 암호화 해시가 SGX 보고서 데이터와 일치하는지, 그리고 견적에 있는 MRENCLAVE 값을 신뢰할 수 있는지 확인합니다. 네트워크의 신뢰할 수 있는 MRENCLAVE 값 목록은 https://<ledgername>.confidential-ledger.azure.com/node/code 엔드포인트에서 다운로드할 수 있습니다. 노드가 신뢰할 수 있는 코드를 실행하고 있는지 확인하기 위해 선택적 mrenclave 매개 변수를 제공할 수 있습니다. 제공된 경우 견적의 mreclave 값은 정확하게 일치해야 합니다.