TLS 可用于保护 NDB Cluster 8.3 及更高版本中的网络通信。由 TLS 保护的 NDB Transporter 连接使用 TLS 双向身份验证，其中每个节点都验证其对等方的证书。节点证书也可以绑定到特定主机名；在这种情况下，对等方仅在可以验证主机名的情况下才授权证书。

节点自己的证书文件包含它用来验证其对等方证书的整个信任链。这通常仅包括它自己的证书和颁发 CA 的证书，但也可能包含其他 CA。由于 NDB 集群被视为一个信任域，因此 CA 的范围应限制在一个集群中。

为了获得已签名的节点证书，首先需要创建证书颁发机构 (CA)。部署 TLS 时，每个节点都具有由 CA 签名的有效证书。只有管理员 (DBA) 应该能够访问用于创建有效节点证书的私有 CA 签名密钥。

默认情况下，主机名绑定是为管理和 API 节点证书创建的。由于 NDB Cluster 数据节点已作为节点 ID 分配的一部分受到主机名检查，因此默认行为是不为 TLS 添加额外的主机名检查。

证书在到达过期日期后将不再有效。为了最大程度地减少证书过期对系统可用性的影响，集群应具有几个具有交错过期日期的证书；客户端证书应最早过期，其次是数据节点证书，最后是管理服务器证书。为了便于交错过期，每个证书都与节点类型相关联；给定节点仅使用相应类型的密钥和证书。

私钥是在本地创建的；包含私钥的文件复制已降至最低。私钥和证书都被标记为活动（当前）或待处理。可以轮换密钥，以便待处理密钥在活动密钥过期之前替换活动密钥。

由于可能涉及大量文件，因此 NDB 遵循几个用于存储密钥、签名请求和证书的文件的命名约定。这些名称不可用户配置，但用户可以确定存储这些文件的目录。

默认情况下，NDB Cluster CA 私钥受密码保护，创建已签名的节点证书时必须提供该密码。节点私钥以未加密的形式存储，以便它们可以在节点启动时自动打开。私钥文件是只读的（Unix 文件模式 0400）。