生成自签名证书

注意

要在 TiDB 客户端与服务端间通信开启加密传输，你只需配置 auto-tls 参数。

本文档提供使用 openssl 生成自签名证书的一个示例，用户也可以根据自己的需求生成符合要求的证书和密钥。

假设实例集群拓扑如下：

安装 OpenSSL

对于 Debian 或 Ubuntu 操作系统：

apt install openssl

对于 RedHat 或 CentOS 操作系统：

yum install openssl

也可以参考 OpenSSL 官方的下载文档进行安装。

CA 的作用是签发证书。实际情况中，请联系你的管理员签发证书或者使用信任的 CA 机构。CA 会管理多个证书对，这里只需生成原始的一对证书，步骤如下：

生成 root 证书：

openssl req -new -x509 -days 1000 -key root.key -out root.crt

给 TiKV 实例签发证书的步骤如下：

生成该证书对应的私钥：
```
openssl genrsa -out tikv.key 2048
```
拷贝一份 OpenSSL 的配置模板文件。
模板文件可能存在多个位置，请以实际位置为准：
```
cp /usr/lib/ssl/openssl.cnf .
```
如果不知道实际位置，请在根目录下查找：
```
find / -name openssl.cnf
```
编辑 openssl.cnf，在 [ req ] 字段下加入 req_extensions = v3_req，然后在 [ v3_req ] 字段下加入 subjectAltName = @alt_names。最后新建一个字段，并编辑 SAN 的信息：
```
[ alt_names ]
IP.1 = 127.0.0.1
IP.2 = 172.16.10.14
IP.3 = 172.16.10.15
IP.4 = 172.16.10.16
```
保存 openssl.cnf 文件后，生成证书请求文件（在这一步也可以为该证书指定 Common Name，其作用是让服务端验证接入的客户端的身份，各个组件默认不会开启验证，需要在配置文件中启用该功能才生效）：
```
openssl req -new -key tikv.key -out tikv.csr -config openssl.cnf
```

签发生成证书：

openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in tikv.csr -out tikv.crt -extensions v3_req -extfile openssl.cnf

为其它 TiDB 组件签发证书的过程类似，此文档不再赘述。

为客户端签发证书的步骤如下。

生成该证书对应的私钥：
```
openssl genrsa -out client.key 2048
```
生成证书请求文件（在这一步也可以为该证书指定 Common Name，其作用是让服务端验证接入的客户端的身份，默认不会开启对各个组件的验证，需要在配置文件中启用该功能才生效）
```
openssl req -new -key client.key -out client.csr
```

签发生成证书：

openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt