101 103 103 104 105 105 105 105 105 参数列表 告警通知 告警通知 创建告警模板 绑定资源 SSL 证书管理 证书管理 进⼊管理⻚⾯ 添加 SSL 证书 证书格式 开启 SSL 配置 关闭 SSL 配置 删除 SSL 证书 查看证书详情 安全组 安全组 查看安全组 修改安全组 数据迁移 数据迁移 存量 MySQL 迁移到 TiDB 服务 ⾃建 TiDB 迁移到 TiDB 计费指南 回收 操作指南 TiDB 实例 ⽤⼾ 备份恢复 Dashboard/监控访问 TiDB Serverless 实例 ⽤⼾ Binlog同步 TiFlash管理 备份恢复 参数配置调整 告警通知 证书管理 数据库审计 安全组 数据迁移 性能数据 概览 分布式NewSQL数据库 TiDB Copyright © 2012-2021 UCloud 优刻得 9/120 FAQ 概览 分布式NewSQL数据库 2012-2021 UCloud 优刻得 92/120 SSL 证书管理 证书管理 SSL 证书管理功能可管理实例证书 进⼊管理页⾯ 进⼊管理页⾯ 在产品主⻚中找到对应的实例， 点击“详情”按钮进⼊详情⻚⾯。 SSL 证书管理 分布式NewSQL数据库 TiDB Copyright © 2012-2021 UCloud 优刻得 93/120 SSL 证书管理 分布式NewSQL数据库 TiDB Copyright

Discovery Service Sidecar 的证书管理方案 使用可信身份服务构建敏感数据下发通道 Service Mesh Sidecar 的 TLS 生产级落地实践 分享内容基于 Secret Discovery Service Sidecar 的证书管理方案 Kubernetes Secret 证书管理流程 在 Kubernetes 场景下，证书是通过 secret 的方式来管理，使用时通过 Discovery Service Sidecar 的证书管理方案 Envoy SDS 证书管理流程 Secret Discovery Service 是 Envoy 提出的 Sidecar 证书管理方案，方案的核心流程在于引入 SDS Server 进行密钥管理和分发，Sidecar 通过 gRPC 请求获取证书，并利用 gRPC stream 能力实现证书动态轮转。 当然，Sidecar 和 SDS mTLS 通信，采用静态证书方案，通过 Secret Mount 方式获取通信证书  Sidecar 与 SDS Server 采用 UDS 方式实现纯内存通信，不需要使用证书。基于 Secret Discovery Service Sidecar 的证书管理方案 Envoy SDS 证书管理流程基于 Secret Discovery Service Sidecar 的证书管理方案 Istio

部署方案（强烈推荐） 离线 Ansible 部署方案 Docker 部署方案 Docker Compose 部署方案 跨机房部署方案 配置集群 参数解释 TiDB 配置项解释 开启 TLS 验证 生成自签名证书 监控集群 整体监控框架概述 重要监控指标详解 组件状态 API & 监控 扩容缩容 集群扩容缩容方案 使用 Ansible 扩容缩容 升级 升级组件版本 TiDB 2.0 升级操作指南 性能调优 备份与迁移 跨机房部署方案 配置集群 参数解释 README - 8 - 本文档使用 书栈(BookStack.CN) 构建 TiDB 配置项解释 使用 Ansible 变更组件配置 开启 TLS 验证 生成自签名证书 监控集群 整体监控框架概述 重要监控指标详解 组件状态 API & 监控 扩容缩容 集群扩容缩容方案 使用 Ansible 扩容缩容 升级 升级组件版本 TiDB 2.0 升级操作指南 性能调优 备份与迁移 默认: false PEM 格式的 SSL 证书文件路径 默认: “” 当同时设置了该选项和 --ssl-key 选项时，TiDB 将接受（但不强制）客户端使用 TLS 安全地连接到 TiDB。 若指定的证书或私钥无效，则 TiDB 会照常启动，但无法接受安全连接。 PEM 格式的 SSL 证书密钥文件路径，即 --ssl-cert 所指定的证书的私钥 默认: “” 目前 TiDB 不支持加载由密码保护的私钥。

• 使用主题订阅模式，减少阻塞问题Istio_Ca——安全证书管理（ICA） u证书生成 u证书挂载 u证书过期证书生成 ü生成root-cert.pem ü生成cert-chain.pem ü生成key.pem证书挂载 üICA以Name为istio.default在k8s创建Secrets对象 ü应用服务获取Secrets对象证书，并挂载到/etc/certs • volumeMounts: • secretName: istio.default证书过期 üroot-cert.pem 实际有效期1年，没有找到更新方式，手动更新？ ücert-chain.pem 和 key.pem 实际有效期90天，程序控制有效期45天 ü证书过期会被重新生成并挂载到/etc/certs ü触发envoy热启动ü方案一： • 把重新生成证书时间改为凌晨http://www.servicemesher

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 656 8.1.4 生成自签名证书 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3025 14.11.6 TiDB 证书鉴权使用指南 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 传输层加密 (TLS) Y Y Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y Y caching_sha2_password 认证 Y Y Y Y Y Y Y Y Y N tidb_sm3_password 认证 Y Y Y Y Y

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 714 8.1.4 生成自签名证书 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3044 14.11.6 TiDB 证书鉴权使用指南 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · Y Y Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y Y Y Y caching_sha2_password 认证 Y Y Y Y Y Y Y Y Y Y Y N tidb_sm3_password 认证 Y

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 968 8.1.4 生成自签名证书 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3059 14.11.6 TiDB 证书鉴权使用指南 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · Y Y Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y Y Y Y caching_sha2_password 认证 Y Y Y Y Y Y Y Y Y Y Y N tidb_sm3_password 认证 Y

13 要指定使用安全协议 (TLS)，请传入一个元组作为 secure 参数。这将仅在提供了验证凭据时才能被使 用。元组应当或是一个空元组，或是一个包含密钥文件名的单值元组，或是一个包含密钥文件和证书 文件的 2 值元组。（此元组会被传给smtplib.SMTP.starttls() 方法。） 可以使用 timeout 参数为与 SMTP 服务器的通信指定超时限制。 3.3 新版功能: 增加了 create_default_context() 返回的默认上下文。 参见: SSL/TLS security considerations • server_hostname 设置或重载目标服务器的证书将要匹配的主机名。应当只在 ssl 不为 None 时传入。 默认情况下会使用 host 参数的值。如果 host 为空那就没有默认值，你必须为 server_hostname 传入 一个值。如果 server_hostname ：一个已经配置好的SSLContext 实例。 • 当服务端连接已升级时 (如create_server() 所创建的对象) server_side 会传入 True。 • server_hostname ：设置或者覆盖目标服务器证书中相对应的主机名。 • ssl_handshake_timeout 是（用于 TLS 连接的）在放弃连接之前要等待 TLS 握手完成的秒数。如果参 数为 None 则使用 (默认的) 60.0。

哈希函数实现、扩展代码和本文档: 在法律许可的范围内，作者已将此软件的全部版权以及关联和邻接权利贡献到全球公共领域。 此软件的发布不附带任何担保。 你应该已收到此软件附带的 CC0 公共领域专属证书的副本。如果没有，请参阅 https:// creativecommons.org/publicdomain/zero/1.0/。 根据创意分享公共领域贡献 1.0 通用规范，下列人士为此项目的开发提供了帮助或对公共领域的修改作 参数。 要指定使用安全协议 (TLS)，请传入一个元组作为 secure 参数。这将仅在提供了验证凭据时才能被 使用。元组应当或是一个空元组，或是一个包含密钥文件名的单值元组，或是一个包含密钥文件和 证书文件的 2 值元组。（此元组会被传给smtplib.SMTP.starttls() 方法。） 可以使用 timeout 参数为与 SMTP 服务器的通信指定超时限制。 3.3 新版功能: 增加了 create_default_context() 返回的默认上下文。 参见: SSL/TLS security considerations • server_hostname 设置或重载目标服务器的证书将要匹配的主机名。应当只在 ssl 不为 None 时传 入。默认情况下会使用 host 参数的值。如果 host 为空那就没有默认值，你必须为 server_hostname 传入一个值。如果 server_hostname

参数。 要指定使用安全协议 (TLS)，请传入一个元组作为 secure 参数。这将仅在提供了验证凭据时才能被使 用。元组应当或是一个空元组，或是一个包含密钥文件名的单值元组，或是一个包含密钥文件和证书 文件的 2 值元组。（此元组会被传给smtplib.SMTP.starttls() 方法。） 可以使用 timeout 参数为与 SMTP 服务器的通信指定超时限制。 3.3 新版功能: 增加了 警告: 在阅读安全考量 前不要使用此模块。这样做可能会导致虚假的安全感，因为 ssl 模块的默认设置不 一定适合你的应用程序。 本文档记录”ssl”模块的对象和函数；更多关于 TLS,SSL, 和证书的信息，请参阅下方的“详情”选项 This module provides a class, ssl.SSLSocket, which is derived from the socket.socket which retrieves the cipher being used for the secure connection. 对于更复杂的应用程序，ssl.SSLContext 类有助于管理设置项和证书，进而可以被使用SSLContext. wrap_socket() 方法创建的 SSL 套接字继承。 在 3.5.3 版更改: 更新以支持和 OpenSSL 1.1.0 的链接 在 3.6 版更改: