pd身份认证cert-allowed-cn问题

月明星稀 · 2023 年6 月 29 日 10:56

这个文档说明可以配置多个CN，但是实际部署提示仅支持一个
[FATAL] [main.go:100] [“create server failed”] [error=“[PD:grpcutil:ErrSecurityConfig]security config error: only supports one CN”] [stack=“main.main\n\t/home/jenkins/agent/workspace/build-common/go/src/github.com/pingcap/pd/cmd/pd-server/main.go:100\nruntime.main\n\t/usr/local/go/src/runtime/proc.go:250”]

有人知道这个cert-allowed-cn是不是配置tikv证书的CN值，还是配置什么值吗？

Anna · 2023 年6 月 30 日 05:37

`cert-allowed-cn`

客户端提供的证书中，可接受的 X.509 通用名称列表。仅当提供的通用名称与列表中的条目之一完全匹配时，才会允许其请求。
默认值：[]。这意味着默认情况下禁用客户端证书 CN 检查。

Anna · 2023 年6 月 30 日 05:38

目前 DM-master 的 cert-allowed-cn 配置项只能设置一个值。因此所有 Certificate 对象的 commonName 都要设置成同样一个值。

Anna · 2023 年6 月 30 日 05:39

看这个：https://docs.pingcap.com/zh/tidb-in-kubernetes/stable/enable-tls-for-dm#第二步部署-dm-集群

redgame · 2023 年7 月 2 日 09:11

cert-allowed-cn 应配置为证书所属实际使用的主机的 CN 值，以确保只有受信任的证书能够与 PD 服务器进行通信