From fec128e469788e522e3c7780ba92d5132860a02d Mon Sep 17 00:00:00 2001 From: Caitin <34535727+CaitinChen@users.noreply.github.com> Date: Fri, 22 May 2020 10:48:57 +0800 Subject: [PATCH 01/10] resources: update the Figma link (#3230) --- resources/figma-quick-start-guide.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/resources/figma-quick-start-guide.md b/resources/figma-quick-start-guide.md index a3aa6b56977a..4925b564214a 100644 --- a/resources/figma-quick-start-guide.md +++ b/resources/figma-quick-start-guide.md @@ -31,7 +31,7 @@ summary: 本文档介绍如何使用 Figma 绘制图片。 ### 第 2 步:打开 tidb-sketch-book 文件 -点击 [tidb-sketch-book](https://www.figma.com/file/MOBwqkBtuA03agMjeGEGUT/tidb-sketch-book) 查看该绘图模板文件。 +点击 [tidb-sketch-book](https://www.figma.com/file/dHQ9B7X4mF1q78NRIzNTs5/tidb-sketch-book-2020) 查看该绘图模板文件。 > **注意:** > From e82d45de160892eab27b6a67ff454dd451a1f490 Mon Sep 17 00:00:00 2001 From: TXXT Date: Fri, 22 May 2020 07:04:32 +0000 Subject: [PATCH 02/10] update generate ssl Signed-off-by: TXXT --- enable-tls-between-components.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/enable-tls-between-components.md b/enable-tls-between-components.md index 403f6402331d..49c0c789becc 100644 --- a/enable-tls-between-components.md +++ b/enable-tls-between-components.md @@ -25,7 +25,7 @@ MySQL Client 与 TiDB 之间使用一套证书,TiDB 集群组件之间使用 有多种工具可以生成自签名证书,如 `openssl`,`easy-rsa`,`cfssl`。 - 这里提供一个使用 `cfssl` 生成证书的示例:[生成自签名证书](/generate-self-signed-certificates.md)。 + 这里提供一个使用 `openssl` 生成证书的示例:[生成自签名证书](/generate-self-signed-certificates.md)。 2. 配置证书。 From 7b706feb8aa1e559eea051f7d8e2b49394c5dba5 Mon Sep 17 00:00:00 2001 From: TXXT Date: Fri, 22 May 2020 07:18:18 +0000 Subject: [PATCH 03/10] update generate ssl Signed-off-by: TXXT --- generate-self-signed-certificates.md | 176 ++++++++++----------------- 1 file changed, 64 insertions(+), 112 deletions(-) diff --git a/generate-self-signed-certificates.md b/generate-self-signed-certificates.md index 60bb171f1e44..1735084c0b70 100644 --- a/generate-self-signed-certificates.md +++ b/generate-self-signed-certificates.md @@ -8,156 +8,108 @@ aliases: ['/docs-cn/dev/how-to/secure/generate-self-signed-certificates/'] ## 概述 -本文档提供使用 `cfssl` 生成自签名证书的示例。 +本文档仅提供使用 `openssl` 生成自签名证书的一个示例,用户也可以根据自己的需求生成符合自己需求的证书和密钥。 假设实例集群拓扑如下: -| Name | Host IP | Services | -| ----- | ----------- | ---------- | -| node1 | 172.16.10.1 | PD1, TiDB1 | -| node2 | 172.16.10.2 | PD2, TiDB2 | -| node3 | 172.16.10.3 | PD3 | -| node4 | 172.16.10.4 | TiKV1 | -| node5 | 172.16.10.5 | TiKV2 | -| node6 | 172.16.10.6 | TiKV3 | +| Name | Host IP | Services | +| ----- | ----------- | ---------- | +| node1 | 172.16.10.11 | PD1, TiDB1 | +| node2 | 172.16.10.12 | PD2 | +| node3 | 172.16.10.13 | PD3 | +| node4 | 172.16.10.14 | TiKV1 | +| node5 | 172.16.10.15 | TiKV2 | +| node6 | 172.16.10.16 | TiKV3 | -## 下载 cfssl +## 安装 OpenSSL -假设使用 x86_64 Linux 主机: - -{{< copyable "shell-regular" >}} +对于 Debian 或 Ubuntu 操作系统: ```bash -mkdir ~/bin && -curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 && -curl -s -L -o ~/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 && -chmod +x ~/bin/{cfssl,cfssljson} && -export PATH=$PATH:~/bin +apt install openssl ``` -## 初始化证书颁发机构 - -生成 cfssl 的默认配置,以便于之后修改: +对于 RedHat 或 CentOS 操作系统: ```bash -mkdir ~/cfssl && -cd ~/cfssl && -cfssl print-defaults config > ca-config.json && -cfssl print-defaults csr > ca-csr.json +yum install openssl ``` -## 生成证书 - -### 证书介绍 - -- tidb-server certificate 由 TiDB 使用,为其他组件和客户端验证 TiDB 身份。 -- tikv-server certificate 由 TiKV 使用,为其他组件和客户端验证 TiKV 身份。 -- pd-server certificate 由 PD 使用,为其他组件和客户端验证 PD 身份。 -- client certificate 用于通过 PD、TiKV、TiDB 验证客户端。例如 `pd-ctl`,`tikv-ctl`,`pd-recover`。 - -### 配置 CA 选项 - -根据实际需求修改 `ca-config.json`: - -```json -{ - "signing": { - "default": { - "expiry": "43800h" - }, - "profiles": { - "server": { - "expiry": "43800h", - "usages": [ - "signing", - "key encipherment", - "server auth", - "client auth" - ] - }, - "client": { - "expiry": "43800h", - "usages": [ - "signing", - "key encipherment", - "client auth" - ] - } - } - } -} -``` - -根据实际需求修改 `ca-csr.json` : - -```json -{ - "CN": "My own CA", - "key": { - "algo": "rsa", - "size": 2048 - }, - "names": [ - { - "C": "CN", - "L": "Beijing", - "O": "PingCAP", - "ST": "Beijing" - } - ] -} -``` +也可以参考 OpenSSL 官方的 [下载文档](https://www.openssl.org/source/) 安装 -### 生成 CA 证书 +## 生成 CA 证书 -{{< copyable "shell-regular" >}} +CA 的作用是签发证书,在实际情况里,请联系你的管理员签发证书或者使用信任的 CA 机构。CA 会管理多个证书对,这里只需生成原始的一对证书: ```bash -cfssl gencert -initca ca-csr.json | cfssljson -bare ca - +// 生成 root 密钥 +openssl genrsa -out root.key 4096 +// 生成 root 证书 +openssl req -new -x509 -days 1000 -key root.key -out root.crt +// 验证 root 证书 +openssl x509 -text -in root.crt -noout ``` -将会生成以下几个文件: +## 签发各个组件的证书 -``` -ca-key.pem -ca.csr -ca.pem -``` +### 集群中可能使用到的证书 -### 生成服务器端证书 +- tidb certificate 由 TiDB 使用,为其他组件和客户端验证 TiDB 身份。 +- tikv certificate 由 TiKV 使用,为其他组件和客户端验证 TiKV 身份。 +- pd certificate 由 PD 使用,为其他组件和客户端验证 PD 身份。 +- client certificate 用于 PD、TiKV、TiDB 验证客户端。例如 `pd-ctl`,`tikv-ctl` 等。 -`hostname` 中为各组件的 IP 地址,以及 `127.0.0.1` +### 给 TiKV 实例签发证书 -{{< copyable "shell-regular" >}} +生成该证书对应的私钥: ```bash -echo '{"CN":"tidb-server","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server -hostname="172.16.10.1,172.16.10.2,127.0.0.1" - | cfssljson -bare tidb-server && +openssl genrsa -out tikv.key 2048 +``` -echo '{"CN":"tikv-server","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server -hostname="172.16.10.4,172.16.10.5,172.16.10.6,127.0.0.1" - | cfssljson -bare tikv-server && +拷贝一份 OpenSSL 的配置模板文件: -echo '{"CN":"pd-server","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server -hostname="172.16.10.1,172.16.10.2,172.16.10.3,127.0.0.1" - | cfssljson -bare pd-server +```bash +// 模板文件可能存在多个位置,请以实际位置为准 +cp /usr/lib/ssl/openssl.cnf . +// 如果不知道实际位置,请在根目录下查找 +find / -name openssl.cnf ``` -将会生成以下几个文件: +编辑 `openssl.cnf`,在 `[ req ]` 字段下加入 `req_extensions = v3_req`,然后在 `[ v3_req ]` 字段下加入 `subjectAltName = @alt_names`。最后新建一个字段,并编辑 SAN 的信息: ``` -tidb-server-key.pem tikv-server-key.pem pd-server-key.pem -tidb-server.csr tikv-server.csr pd-server.csr -tidb-server.pem tikv-server.pem pd-server.pem +[ alt_names ] +IP.1 = 127.0.0.1 +IP.2 = 172.16.10.14 +IP.3 = 172.16.10.15 +IP.4 = 172.16.10.16 ``` -### 生成客户端证书 +保存 `openssl.cnf` 文件后,生成证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,各个组件默认不会开启验证,需要在配置文件中启用该功能才生效): -{{< copyable "shell-regular" >}} +```bash +openssl req -new -key tikv.key -out tikv.csr -config openssl.cnf +``` + +签发生成证书: + +```bash +openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in tikv.csr -out tikv.crt -extensions v3_req -extfile openssl.cnf +``` + +验证证书携带 SAN 字段信息: ```bash -echo '{"CN":"client","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client -hostname="" - | cfssljson -bare client +openssl x509 -text -in tikv.crt -noout ``` -将会生成以下几个文件: +如果操作成功,会在当前目录下得到如下文件: ``` -client-key.pem -client.csr -client.pem +root.crt +tikv.crt +tikv.key ``` + +为其它组件签发证书的过程类似,此文档不再赘述。 From a16002705cc3c5d20a8c32cdf736a0ae9faf785f Mon Sep 17 00:00:00 2001 From: TXXT Date: Fri, 22 May 2020 07:21:19 +0000 Subject: [PATCH 04/10] revert Signed-off-by: TXXT --- resources/figma-quick-start-guide.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/resources/figma-quick-start-guide.md b/resources/figma-quick-start-guide.md index 4925b564214a..a3aa6b56977a 100644 --- a/resources/figma-quick-start-guide.md +++ b/resources/figma-quick-start-guide.md @@ -31,7 +31,7 @@ summary: 本文档介绍如何使用 Figma 绘制图片。 ### 第 2 步:打开 tidb-sketch-book 文件 -点击 [tidb-sketch-book](https://www.figma.com/file/dHQ9B7X4mF1q78NRIzNTs5/tidb-sketch-book-2020) 查看该绘图模板文件。 +点击 [tidb-sketch-book](https://www.figma.com/file/MOBwqkBtuA03agMjeGEGUT/tidb-sketch-book) 查看该绘图模板文件。 > **注意:** > From 30cffa6769d14839943f61a2ecc7e6cf62546446 Mon Sep 17 00:00:00 2001 From: Xintao Date: Fri, 22 May 2020 19:29:28 +0800 Subject: [PATCH 05/10] Apply suggestions from code review Co-authored-by: Keke Yi <40977455+yikeke@users.noreply.github.com> --- generate-self-signed-certificates.md | 12 +++++++----- 1 file changed, 7 insertions(+), 5 deletions(-) diff --git a/generate-self-signed-certificates.md b/generate-self-signed-certificates.md index 1735084c0b70..373afb1d7251 100644 --- a/generate-self-signed-certificates.md +++ b/generate-self-signed-certificates.md @@ -6,9 +6,7 @@ aliases: ['/docs-cn/dev/how-to/secure/generate-self-signed-certificates/'] # 生成自签名证书 -## 概述 - -本文档仅提供使用 `openssl` 生成自签名证书的一个示例,用户也可以根据自己的需求生成符合自己需求的证书和密钥。 +本文档提供使用 `openssl` 生成自签名证书的一个示例,用户也可以根据自己的需求生成符合要求的证书和密钥。 假设实例集群拓扑如下: @@ -25,21 +23,25 @@ aliases: ['/docs-cn/dev/how-to/secure/generate-self-signed-certificates/'] 对于 Debian 或 Ubuntu 操作系统: +{{< copyable "shell-regular" >}} + ```bash apt install openssl ``` 对于 RedHat 或 CentOS 操作系统: +{{< copyable "shell-regular" >}} + ```bash yum install openssl ``` -也可以参考 OpenSSL 官方的 [下载文档](https://www.openssl.org/source/) 安装 +也可以参考 OpenSSL 官方的[下载文档](https://www.openssl.org/source/) 进行安装。 ## 生成 CA 证书 -CA 的作用是签发证书,在实际情况里,请联系你的管理员签发证书或者使用信任的 CA 机构。CA 会管理多个证书对,这里只需生成原始的一对证书: +CA 的作用是签发证书。实际情况中,请联系你的管理员签发证书或者使用信任的 CA 机构。CA 会管理多个证书对,这里只需生成原始的一对证书: ```bash // 生成 root 密钥 From 20441f615bcff853a4ccd5053197b1da69eefc15 Mon Sep 17 00:00:00 2001 From: TXXT Date: Fri, 22 May 2020 11:32:45 +0000 Subject: [PATCH 06/10] safe point Signed-off-by: TXXT --- generate-self-signed-certificates.md | 14 +++++++------- 1 file changed, 7 insertions(+), 7 deletions(-) diff --git a/generate-self-signed-certificates.md b/generate-self-signed-certificates.md index 373afb1d7251..c19a435d3b28 100644 --- a/generate-self-signed-certificates.md +++ b/generate-self-signed-certificates.md @@ -63,13 +63,13 @@ openssl x509 -text -in root.crt -noout ### 给 TiKV 实例签发证书 -生成该证书对应的私钥: +1. 生成该证书对应的私钥: ```bash openssl genrsa -out tikv.key 2048 ``` -拷贝一份 OpenSSL 的配置模板文件: +2. 拷贝一份 OpenSSL 的配置模板文件: ```bash // 模板文件可能存在多个位置,请以实际位置为准 @@ -78,7 +78,7 @@ cp /usr/lib/ssl/openssl.cnf . find / -name openssl.cnf ``` -编辑 `openssl.cnf`,在 `[ req ]` 字段下加入 `req_extensions = v3_req`,然后在 `[ v3_req ]` 字段下加入 `subjectAltName = @alt_names`。最后新建一个字段,并编辑 SAN 的信息: +3. 编辑 `openssl.cnf`,在 `[ req ]` 字段下加入 `req_extensions = v3_req`,然后在 `[ v3_req ]` 字段下加入 `subjectAltName = @alt_names`。最后新建一个字段,并编辑 SAN 的信息: ``` [ alt_names ] @@ -88,25 +88,25 @@ IP.3 = 172.16.10.15 IP.4 = 172.16.10.16 ``` -保存 `openssl.cnf` 文件后,生成证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,各个组件默认不会开启验证,需要在配置文件中启用该功能才生效): +4. 保存 `openssl.cnf` 文件后,生成证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,各个组件默认不会开启验证,需要在配置文件中启用该功能才生效): ```bash openssl req -new -key tikv.key -out tikv.csr -config openssl.cnf ``` -签发生成证书: +5. 签发生成证书: ```bash openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in tikv.csr -out tikv.crt -extensions v3_req -extfile openssl.cnf ``` -验证证书携带 SAN 字段信息: +6. 验证证书携带 SAN 字段信息(可选): ```bash openssl x509 -text -in tikv.crt -noout ``` -如果操作成功,会在当前目录下得到如下文件: +7. 确认在当前目录下得到如下文件: ``` root.crt From ffed092fa7ca1827788d8b811ec073d03800b29f Mon Sep 17 00:00:00 2001 From: yikeke Date: Sun, 24 May 2020 13:07:43 +0800 Subject: [PATCH 07/10] fix format to pass ci --- generate-self-signed-certificates.md | 79 +++++++++++++++++----------- 1 file changed, 48 insertions(+), 31 deletions(-) diff --git a/generate-self-signed-certificates.md b/generate-self-signed-certificates.md index c19a435d3b28..8515d415a6da 100644 --- a/generate-self-signed-certificates.md +++ b/generate-self-signed-certificates.md @@ -63,55 +63,72 @@ openssl x509 -text -in root.crt -noout ### 给 TiKV 实例签发证书 +给 TiKV 实例签发证书的步骤如下: + 1. 生成该证书对应的私钥: -```bash -openssl genrsa -out tikv.key 2048 -``` + {{< copyable "shell-regular" >}} -2. 拷贝一份 OpenSSL 的配置模板文件: + ```bash + openssl genrsa -out tikv.key 2048 + ``` -```bash -// 模板文件可能存在多个位置,请以实际位置为准 -cp /usr/lib/ssl/openssl.cnf . -// 如果不知道实际位置,请在根目录下查找 -find / -name openssl.cnf -``` +2. 拷贝一份 OpenSSL 的配置模板文件。 + + 模板文件可能存在多个位置,请以实际位置为准: + + {{< copyable "shell-regular" >}} + + ```bash + cp /usr/lib/ssl/openssl.cnf . + ``` + + 如果不知道实际位置,请在根目录下查找: + + ```bash + find / -name openssl.cnf + ``` 3. 编辑 `openssl.cnf`,在 `[ req ]` 字段下加入 `req_extensions = v3_req`,然后在 `[ v3_req ]` 字段下加入 `subjectAltName = @alt_names`。最后新建一个字段,并编辑 SAN 的信息: -``` -[ alt_names ] -IP.1 = 127.0.0.1 -IP.2 = 172.16.10.14 -IP.3 = 172.16.10.15 -IP.4 = 172.16.10.16 -``` + ``` + [ alt_names ] + IP.1 = 127.0.0.1 + IP.2 = 172.16.10.14 + IP.3 = 172.16.10.15 + IP.4 = 172.16.10.16 + ``` 4. 保存 `openssl.cnf` 文件后,生成证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,各个组件默认不会开启验证,需要在配置文件中启用该功能才生效): -```bash -openssl req -new -key tikv.key -out tikv.csr -config openssl.cnf -``` + {{< copyable "shell-regular" >}} + + ```bash + openssl req -new -key tikv.key -out tikv.csr -config openssl.cnf + ``` 5. 签发生成证书: -```bash -openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in tikv.csr -out tikv.crt -extensions v3_req -extfile openssl.cnf -``` + {{< copyable "shell-regular" >}} + + ```bash + openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in tikv.csr -out tikv.crt -extensions v3_req -extfile openssl.cnf + ``` 6. 验证证书携带 SAN 字段信息(可选): -```bash -openssl x509 -text -in tikv.crt -noout -``` + {{< copyable "shell-regular" >}} + + ```bash + openssl x509 -text -in tikv.crt -noout + ``` 7. 确认在当前目录下得到如下文件: -``` -root.crt -tikv.crt -tikv.key -``` + ``` + root.crt + tikv.crt + tikv.key + ``` 为其它组件签发证书的过程类似,此文档不再赘述。 From a3480093fba68a65294b0177a2b506045d648df2 Mon Sep 17 00:00:00 2001 From: yikeke Date: Sun, 24 May 2020 13:11:08 +0800 Subject: [PATCH 08/10] update code block format --- generate-self-signed-certificates.md | 33 ++++++++++++++++++++-------- 1 file changed, 24 insertions(+), 9 deletions(-) diff --git a/generate-self-signed-certificates.md b/generate-self-signed-certificates.md index 8515d415a6da..d9be4dcff892 100644 --- a/generate-self-signed-certificates.md +++ b/generate-self-signed-certificates.md @@ -41,16 +41,31 @@ yum install openssl ## 生成 CA 证书 -CA 的作用是签发证书。实际情况中,请联系你的管理员签发证书或者使用信任的 CA 机构。CA 会管理多个证书对,这里只需生成原始的一对证书: +CA 的作用是签发证书。实际情况中,请联系你的管理员签发证书或者使用信任的 CA 机构。CA 会管理多个证书对,这里只需生成原始的一对证书,步骤如下: -```bash -// 生成 root 密钥 -openssl genrsa -out root.key 4096 -// 生成 root 证书 -openssl req -new -x509 -days 1000 -key root.key -out root.crt -// 验证 root 证书 -openssl x509 -text -in root.crt -noout -``` +1. 生成 root 密钥: + + {{< copyable "shell-regular" >}} + + ```bash + openssl genrsa -out root.key 4096 + ``` + +2. 生成 root 证书: + + {{< copyable "shell-regular" >}} + + ```bash + openssl req -new -x509 -days 1000 -key root.key -out root.crt + ``` + +3. 验证 root 证书: + + {{< copyable "shell-regular" >}} + + ```bash + openssl x509 -text -in root.crt -noout + ``` ## 签发各个组件的证书 From 252577b8fda5ceb18fc90402f731f2d58cc7d01f Mon Sep 17 00:00:00 2001 From: TXXT Date: Mon, 25 May 2020 06:14:26 +0000 Subject: [PATCH 09/10] address comments Signed-off-by: TXXT --- generate-self-signed-certificates.md | 28 +++++++++++++++++++++++++++- 1 file changed, 27 insertions(+), 1 deletion(-) diff --git a/generate-self-signed-certificates.md b/generate-self-signed-certificates.md index d9be4dcff892..3b2c0e1bf5dd 100644 --- a/generate-self-signed-certificates.md +++ b/generate-self-signed-certificates.md @@ -146,4 +146,30 @@ CA 的作用是签发证书。实际情况中,请联系你的管理员签发 tikv.key ``` -为其它组件签发证书的过程类似,此文档不再赘述。 +为其它 TiDB 组件签发证书的过程类似,此文档不再赘述。 + +### 为 Client 签发证书 + +1. 生成该证书对应的私钥: + + {{< copyable "shell-regular" >}} + + ```bash + openssl genrsa -out client.key 2048 + ``` + +2. 生成证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,各个组件默认不会开启验证,需要在配置文件中启用该功能才生效) + + {{< copyable "shell-regular" >}} + + ```bash + openssl req -new -key client.key -out client.csr + ``` + +3. 签发生成证书: + + {{< copyable "shell-regular" >}} + + ```bash + openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt + ``` \ No newline at end of file From 6fc1b8ae4ef9902b5321199db2bf4dad2c612ba8 Mon Sep 17 00:00:00 2001 From: Xintao Date: Mon, 25 May 2020 14:24:16 +0800 Subject: [PATCH 10/10] Apply suggestions from code review Co-authored-by: Keke Yi <40977455+yikeke@users.noreply.github.com> --- generate-self-signed-certificates.md | 8 +++++--- 1 file changed, 5 insertions(+), 3 deletions(-) diff --git a/generate-self-signed-certificates.md b/generate-self-signed-certificates.md index 3b2c0e1bf5dd..35a5dbdf56ed 100644 --- a/generate-self-signed-certificates.md +++ b/generate-self-signed-certificates.md @@ -148,7 +148,9 @@ CA 的作用是签发证书。实际情况中,请联系你的管理员签发 为其它 TiDB 组件签发证书的过程类似,此文档不再赘述。 -### 为 Client 签发证书 +### 为客户端签发证书 + +为客户端签发证书的步骤如下。 1. 生成该证书对应的私钥: @@ -158,7 +160,7 @@ CA 的作用是签发证书。实际情况中,请联系你的管理员签发 openssl genrsa -out client.key 2048 ``` -2. 生成证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,各个组件默认不会开启验证,需要在配置文件中启用该功能才生效) +2. 生成证书请求文件(在这一步也可以为该证书指定 Common Name,其作用是让服务端验证接入的客户端的身份,默认不会开启对各个组件的验证,需要在配置文件中启用该功能才生效) {{< copyable "shell-regular" >}} @@ -172,4 +174,4 @@ CA 的作用是签发证书。实际情况中,请联系你的管理员签发 ```bash openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt - ``` \ No newline at end of file + ```