Re: Cannot start peer due to "certificate has expired or is not yet valid" but it's not #fabric #fabric-questions


Mattia Bolzonella
 

I'm creating the root CA using openssl, so at this point the validity is set at the time of creation the certificate and immediately after that I start the CA server and issue the peer certs. So that's the problem I think.


Il giorno ven 1 mag 2020 alle ore 19:05 Gari Singh <garis@...> ha scritto:
How are you creating the root CA certificate?  Are you having Fabric CA autogenerate it's root or are you generating the root yourself?
Both fabric-ca-server and fabric-ca-client set the validity period to 5 minutes earlier than current time as I recall.

-----------------------------------------
Gari Singh
Distinguished Engineer, CTO - IBM Blockchain
IBM Middleware
550 King St
Littleton, MA 01460
Cell: 978-846-7499
garis@...
-----------------------------------------

-----fabric@... wrote: -----
To: fabric@...
From: "Mattia Bolzonella"
Sent by: fabric@...
Date: 05/01/2020 12:36PM
Subject: [EXTERNAL] Re: [Hyperledger Fabric] Cannot start peer due to "certificate has expired or is not yet valid" but it's not #fabric #fabric-questions

I've examined the logs of the CA issuing the certificates. For example I can see from the log that the peer is enrolled at 15:34 but the certificate has validity from 15:30. The CA cert validity starts at server start-up time. I can't understand why the peer cert validity starts at 15:30 and not at 15:34
Il giorno ven 1 mag 2020 alle ore 18:13 Mattia Bolzonella <mattia.bolzonella@...> ha scritto:
I've examined the logs of the CA issuing the certificates. For example I can see from the log that the peer is enrolled at 15:34 but the certificate has validity from 15:30. The CA cert validity starts at server start-up time. I can't understand why the peer cert validity starts at 15:30 and not at 15:34


Il giorno ven 1 mag 2020 alle ore 16:36 Mattia Bolzonella <mattia.bolzonella@...> ha scritto:
I see, I'm using a script in ordere to generate all certs (including che CA cert) . Maybe I need some delay between certificates. I'm not sure if this is the problem (the script) but I'll look into it and get back to you, thanks
Il giorno ven 1 mag 2020 alle ore 16:22 Gari Singh <garis@...> ha scritto:
Your certificate

 Common Name: peer0.trustedchain.it
 Issued By: trustedchain.it
 Issuing Certificate: ca.trustedchain.it
 Serial Number: 1283279491DA9E086A360570DBD9C5FC67B61833
 Signature: ecdsa-with-SHA256
 Valid From: 10:32:00 30 Apr 2020
 Valid To: 10:37:00 30 Apr 2021
 Key Usage: Digital Signature
 Basic Constraints: CA:FALSE
 Subject Key Identifier: 32:01:1F:55:01:86:5B:74:B5:D5:7F:4B:09:1D:19:4B:A3:BE:DB:9B
 Authority Key Identifier: keyid:1B:5B:EB:EE:C8:D0:6B:75:C5:F7:C1:B1:F4:7E:27:67:CB:98:B6:B7
 Subject Alternative Names: DNS:peer0.trustedchain.it

 somehow has a validity period which starts before the validity period of the issuer / CA:

 Common Name: ca.trustedchain.it
 Issued By: trustedchain.it
 Issuing Certificate: ca.trustedchain.it
 Serial Number: 8387412C902FBEAC
 Signature: ecdsa-with-SHA256
 Valid From: 10:36:04 30 Apr 2020
 Valid To: 10:36:04 28 Apr 2030
 Key Usage: Certificate Sign, CRL Sign
 Basic Constraints: CA:TRUE, pathlen:1
 Subject Key Identifier: 1B:5B:EB:EE:C8:D0:6B:75:C5:F7:C1:B1:F4:7E:27:67:CB:98:B6:B7
 Authority Key Identifier: DirName:/C=IT/ST=ITALIA/O=trustedchain.it/CN=ca.trustedchain.it serial:83:87:41:2C:90:2F:BE:AC
 Subject Alternative Names: DNS:ca.trustedchain.it


 A certificate cannot have a validity period which starts before the validity period of the issuer.

 -----------------------------------------
 Gari Singh
 Distinguished Engineer, CTO - IBM Blockchain
 IBM Middleware
 550 King St
 Littleton, MA 01460
 Cell: 978-846-7499
 garis@...
 -----------------------------------------

 -----fabric@... wrote: -----
 To: Gari Singh <garis@...>
 From: "Mattia Bolzonella"
 Sent by: fabric@...
 Date: 05/01/2020 10:07AM
 Cc: Yacov Manevich <YACOVM@...>, fabric@...
 Subject: [EXTERNAL] Re: [Hyperledger Fabric] Cannot start peer due to "certificate has expired or is not yet valid" but it's not #fabric #fabric-questions

 Thanks for the response, but the CA, ca-client and peer are running on the same system, so I think there should be no problem with the system clock.
 Il giorno gio 30 apr 2020 alle ore 18:08 Gari Singh <garis@...> ha scritto:
 The system clocks across the system running the CA, the system running the fabric-ca-client and the system running the peer are skewed.
  Are you using NTP to sync the times across the various machines?

  -----------------------------------------
  Gari Singh
  Distinguished Engineer, CTO - IBM Blockchain
  IBM Middleware
  550 King St
  Littleton, MA 01460
  Cell: 978-846-7499
  garis@...
  -----------------------------------------

  -----fabric@... wrote: -----
  To: Yacov Manevich <YACOVM@...>
  From: "Mattia Bolzonella"
  Sent by: fabric@...
  Date: 04/30/2020 11:11AM
  Cc: fabric@...
  Subject: [EXTERNAL] Re: [Hyperledger Fabric] Cannot start peer due to "certificate has expired or is not yet valid" but it's not #fabric #fabric-questions

  My system has the CEST time zone, so it's different from the UTC used in the peer
  Il giorno gio 30 apr 2020 alle ore 17:07 Yacov Manevich <YACOVM@...> ha scritto:
  is your system clock fine?



  From:        mattia.bolzonella@...
  To:        fabric@...
  Date:        04/30/2020 05:27 PM
  Subject:        [EXTERNAL] [Hyperledger Fabric] Cannot start peer due to "certificate has expired or is not yet valid" but it's not #fabric #fabric-questions
  Sent by:        fabric@...



  Hi, I'm having some troubles starting my fabric peer (version 2.0.1) here's the log:
  ```
  UTC [main] InitCmd -> ERRO 018 Cannot run peer because error when setting up MSP of type bccsp from directory /etc/hyperledger/fabric/msp: the supplied identity is not valid: x509: certificate has expired or is not yet valid
  ```
  The certificate is generated using `fabric-ca 1.4.6` and the expiring and validity date seem correct. So I cannot understand what is the real problem.
  Any idea?






  --

    Mattia Bolzonella
  Software Developer
  mattia.bolzonella@...
  Via G. Medici 9/a - 35138 Padova (PD)
  +39 049 500 1 500  www.ifin.it



  IFIN SISTEMI S.R.L. a socio unico
   Via G. Medici 9/a
   35138 Padova


  Le informazioni, i dati e le notizie contenute nella presente comunicazione e i relativi allegati sono di natura privata e come tali possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari sopra indicati. La diffusione, la distribuzione e/o la copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p., sia ai sensi del D.Lgs. 196/2003 e Regolamento UE 2016/679. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di darcene immediata comunicazione anche inviando un messaggio di ritorno all'indirizzo e-mail del mittente. L’interessato può esercitare tutti i diritti previsti ai sensi degli articoli degli articoli 13, comma 2, lettere (b) e (d), 15-21 del Regolamento UE 2016/679, inviando un messaggio all'indirizzo e-mail del mittente o telefonando allo 049 500 1 500. Si prega di leggere Privacy Policy presente in https://ifin.it/privacy-policy-informativa-sui-cookies.



 --

   Mattia Bolzonella
 Software Developer
 mattia.bolzonella@...
 Via G. Medici 9/a - 35138 Padova (PD)
 +39 049 500 1 500  www.ifin.it



 IFIN SISTEMI S.R.L. a socio unico
  Via G. Medici 9/a
  35138 Padova


 Le informazioni, i dati e le notizie contenute nella presente comunicazione e i relativi allegati sono di natura privata e come tali possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari sopra indicati. La diffusione, la distribuzione e/o la copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p., sia ai sensi del D.Lgs. 196/2003 e Regolamento UE 2016/679. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di darcene immediata comunicazione anche inviando un messaggio di ritorno all'indirizzo e-mail del mittente. L’interessato può esercitare tutti i diritti previsti ai sensi degli articoli degli articoli 13, comma 2, lettere (b) e (d), 15-21 del Regolamento UE 2016/679, inviando un messaggio all'indirizzo e-mail del mittente o telefonando allo 049 500 1 500. Si prega di leggere Privacy Policy presente in https://ifin.it/privacy-policy-informativa-sui-cookies.



--

  Mattia Bolzonella
Software Developer
mattia.bolzonella@...
Via G. Medici 9/a - 35138 Padova (PD)
+39 049 500 1 500  www.ifin.it


--

  Mattia Bolzonella
Software Developer
mattia.bolzonella@...
Via G. Medici 9/a - 35138 Padova (PD)
+39 049 500 1 500  www.ifin.it


--

  Mattia Bolzonella
Software Developer
mattia.bolzonella@...
Via G. Medici 9/a - 35138 Padova (PD)
+39 049 500 1 500  www.ifin.it



IFIN SISTEMI S.R.L. a socio unico
 Via G. Medici 9/a
 35138 Padova


Le informazioni, i dati e le notizie contenute nella presente comunicazione e i relativi allegati sono di natura privata e come tali possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari sopra indicati. La diffusione, la distribuzione e/o la copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p., sia ai sensi del D.Lgs. 196/2003 e Regolamento UE 2016/679. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di darcene immediata comunicazione anche inviando un messaggio di ritorno all'indirizzo e-mail del mittente. L’interessato può esercitare tutti i diritti previsti ai sensi degli articoli degli articoli 13, comma 2, lettere (b) e (d), 15-21 del Regolamento UE 2016/679, inviando un messaggio all'indirizzo e-mail del mittente o telefonando allo 049 500 1 500. Si prega di leggere Privacy Policy presente in https://ifin.it/privacy-policy-informativa-sui-cookies.



--

Mattia Bolzonella

Software Developer

mattia.bolzonella@...

Via G. Medici 9/a - 35138 Padova (PD)

+39 049 500 1 500  www.ifin.it
      



IFIN SISTEMI S.R.L. a socio unico

Via G. Medici 9/a
35138 Padova 


Le informazioni, i dati e le notizie contenute nella presente comunicazione e i relativi allegati sono di natura privata e come tali possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari sopra indicati. La diffusione, la distribuzione e/o la copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p., sia ai sensi del D.Lgs. 196/2003 e Regolamento UE 2016/679. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di darcene immediata comunicazione anche inviando un messaggio di ritorno all'indirizzo e-mail del mittente. L’interessato può esercitare tutti i diritti previsti ai sensi degli articoli degli articoli 13, comma 2, lettere (b) e (d), 15-21 del Regolamento UE 2016/679, inviando un messaggio all'indirizzo e-mail del mittente o telefonando allo 049 500 1 500. Si prega di leggere Privacy Policy presente in https://ifin.it/privacy-policy-informativa-sui-cookies.

Join fabric@lists.hyperledger.org to automatically receive all group messages.