証明書を生成する

注記：
クライアントとサーバー間の TLS を有効にするには、 auto-tls設定するだけです。

このドキュメントでは、 openssl使用して自己署名証明書を生成する例を示します。また、必要に応じて、要件を満たす証明書と鍵を生成することもできます。

インスタンスクラスターのトポロジが次のとおりであると仮定します。

OpenSSLをインストールする

インストールについては OpenSSL の公式ドキュメントをダウンロードも参照してください。

証明機関（CA）は、デジタル証明書を発行する信頼できる機関です。実際には、管理者に証明書の発行を依頼するか、信頼できるCAを利用してください。CAは複数の証明書ペアを管理しています。ここでは、以下の手順に従って、オリジナルの証明書ペアを生成するだけで済みます。

ルート証明書を生成します:

openssl req -new -x509 -days 1000 -key root.key -out root.crt

このセクションでは、個々のコンポーネントに対して証明書を発行する方法について説明します。

TiKV インスタンスに証明書を発行するには、次の手順を実行します。

証明書に対応する秘密鍵を生成します。
```
openssl genrsa -out tikv.key 2048
```
OpenSSL 構成テンプレートファイルのコピーを作成します (テンプレートファイルは複数の場所に存在する可能性があるため、実際の場所を参照してください)。
```
cp /usr/lib/ssl/openssl.cnf .
```
実際の場所がわからない場合は、ルートディレクトリで探します。
```
find / -name openssl.cnf
```
openssl.cnf編集し、 [ req ]フィールドにreq_extensions = v3_req追加し、 [ v3_req ]フィールドにsubjectAltName = @alt_names追加します。最後に、新しいフィールドを作成し、SAN の情報を編集します。
```
[ alt_names ]
IP.1 = 127.0.0.1
IP.2 = 172.16.10.14
IP.3 = 172.16.10.15
IP.4 = 172.16.10.16
```
openssl.cnfファイルを保存し、証明書要求ファイルを生成します (この手順では、証明書に共通名を割り当てることもできます。共通名は、サーバーがクライアントの ID を検証するために使用されます。各コンポーネントはデフォルトで検証を有効にしませんが、構成ファイルで有効にすることができます)。
```
openssl req -new -key tikv.key -out tikv.csr -config openssl.cnf
```

証明書を発行して生成します。

openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in tikv.csr -out tikv.crt -extensions v3_req -extfile openssl.cnf

証明書に SAN フィールドが含まれていることを確認します (オプション)。
```
openssl x509 -text -in tikv.crt -noout
```
現在のディレクトリに次のファイルが存在することを確認します。
```
root.crt
tikv.crt
tikv.key
```

他の TiDB コンポーネントの証明書を発行するプロセスも同様であるため、このドキュメントでは繰り返しません。

クライアントに証明書を発行するには、次の手順を実行します。

証明書に対応する秘密鍵を生成します。
```
openssl genrsa -out client.key 2048
```
証明書要求ファイルを生成します (この手順では、証明書に共通名を割り当てることもできます。共通名は、サーバーがクライアントの ID を検証するために使用されます。各コンポーネントはデフォルトで検証を有効にしませんが、構成ファイルで有効にすることができます)。
```
openssl req -new -key client.key -out client.csr
```

証明書を発行して生成します。

openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt