创建 CA 和证书后，可以通过运行 ndb_mgm 客户端并使用 --test-tls（如下所示）来测试与管理服务器的 TLS 连接是否可用。

$> ndb_mgm --test-tls
No valid certificate.

如果客户端可以使用 TLS 连接，将生成相应的提示消息。您可能需要包含其他 ndb_mgm 选项，例如 --ndb-tls-search-path，以帮助建立 TLS 连接，如下所示

$> ndb_mgm --test-tls --ndb-tls-search-path="CA:keys"
Connected to management server at localhost port 1186 (using TLS)

如果客户端不使用 TLS 连接，也会发出类似于以下所示的提示信息。

$> ndb_mgm
Connected to management server at localhost port 1186 (using cleartext)
$>

您可以通过执行集群的滚动重启来使集群使用通过 ndb_sign_keys 创建的 CA 和证书，从管理节点开始，这些节点应使用 --ndb-tls-search-path 选项重启。然后，重启数据节点，同样使用 --ndb-tls-search-path。 --ndb-tls-search-path 也支持 mysqld 作为集群 API 节点运行。

要使 TLS 起作用，每个连接到集群的节点都必须具有有效的证书和密钥。这包括数据节点、API 节点和实用程序。多个节点可以使用相同的证书和密钥文件。

数据节点会记录 TLS 连接，并包含所用证书文件的完整路径，如下所示

$> ndbmtd -c localhost:1186 --ndb-tls-search-path='CA:keys'
2023-12-19 12:02:15 [ndbd] INFO     -- NDB TLS 1.3 available using certificate file 'keys/ndb-data-node-cert'
2023-12-19 12:02:15 [ndbd] INFO     -- Angel connected to 'localhost:1186'
2023-12-19 12:02:15 [ndbd] INFO     -- Angel allocated nodeid: 5

您可以通过检查 TLS INFO 命令在 ndb_mgm 客户端中的输出（如下所示）来验证集群节点是否使用 TLS 连接。

$> ndb_mgm --ndb-tls-search-path="CA:keys"
-- NDB Cluster -- Management Client --
ndb_mgm> TLS INFO
Connected to management server at localhost port 1186 (using TLS)
 
Main interactive connection is using TLS
Event listener connection is using TLS
 
Server reports 6 TLS connections.

  Session ID:          32
  Peer address:        ::
  Certificate name:    NDB Node Dec 2023
  Certificate serial:  39:1E:4A:78:E5:93:45:09:FC:56
  Certificate expires: 21-Apr-2024
 
  Session ID:          31
  Peer address:        127.0.0.1
  Certificate name:    NDB Node Dec 2023
  Certificate serial:  39:1E:4A:78:E5:93:45:09:FC:56
  Certificate expires: 21-Apr-2024
 
  Session ID:          30
  Peer address:        127.0.0.1
  Certificate name:    NDB Node Dec 2023
  Certificate serial:  39:1E:4A:78:E5:93:45:09:FC:56
  Certificate expires: 21-Apr-2024
 
  Session ID:          18
  Peer address:        127.0.0.1
  Certificate name:    NDB Data Node Dec 2023
  Certificate serial:  57:5E:58:70:7C:49:B3:74:1A:99
  Certificate expires: 07-May-2024
 
  Session ID:          12
  Peer address:        127.0.0.1
  Certificate name:    NDB Data Node Dec 2023
  Certificate serial:  57:5E:58:70:7C:49:B3:74:1A:99
  Certificate expires: 07-May-2024
 
  Session ID:          1
  Peer address:        127.0.0.1
  Certificate name:    NDB Management Node Dec 2023
  Certificate serial:  32:10:44:3C:F4:7D:73:40:97:41
  Certificate expires: 17-May-2024
 
 
    Server statistics since restart
  Total accepted connections:        32
  Total connections upgraded to TLS: 8
  Current connections:               6
  Current connections using TLS:     6
  Authorization failures:            0
ndb_mgm>

如果 Current connections 和 Current connections using TLS 相同，则表示所有集群连接都使用 TLS。

建立了所有节点的 TLS 连接后，您应该将其设为严格要求。对于客户端，您可以在每个集群主机的 my.cnf 文件中设置 ndb-mgm-tls=strict。通过在集群 config.ini 文件的 [mgm default] 部分中设置 RequireTls=true，然后执行集群的滚动重启以使更改生效，在管理服务器上强制执行 TLS 要求。对数据节点也执行此操作，方法是在配置文件的 [ndbd default] 部分中设置 RequireTls=true；然后，执行集群的第二次滚动重启以使更改在数据节点上生效。使用 --reload 和 --config-file 选项启动 ndb_mgmd，以确保管理服务器读取这两个配置文件更改。

要替换私钥，请使用 ndb_sign_keys --create-key 创建新的密钥和证书，并根据需要使用 --node-id 和 --node-type 选项，以将替换限制为单个节点 ID、节点类型或两者。如果工具找到现有的密钥和证书文件，它会将这些文件重命名以反映它们已过时的状态，并将新创建的密钥和证书保存为活动文件；下次节点重启时将使用这些新文件。

要替换证书而不替换私钥，请使用 ndb_sign_keys，但不要提供 --create-key 选项。这将为现有密钥创建新的证书（不替换密钥），并使旧证书失效。

ndb_sign_keys 也支持远程密钥签名。使用 SSH，--remote-CA-host 选项以 user@host 格式提供 CA 主机的 SSH 地址。默认情况下，本地 ndb_sign_keys 进程使用系统 ssh 实用程序和地址在远程主机上运行 ndb_sign_keys，并使用正确的选项执行所需的签名。或者，如果 --remote-openssl=true，则在远程主机上使用 openssl 而不是 ndb_sign_keys。

使用远程签名时，通过网络发送的数据是 PKCS#10 签名请求，而不是私钥，私钥永远不会离开本地主机。