为 tidb、pd、tikv 等组件开启安全认证后，出现连接握手失败，该怎么解决

Beifein · 2021 年3 月 31 日 11:13

【TiDB 版本】所有组件版本都为 4.0.8

【问题描述】使用tiup cluster指定配置文件的方式部署集群，deploy过程一切正常，在执行tiup cluster start时出现PD能启动，但是除leader PD外的其他PD均有告警日志和报错日志，如下：

pd配置文件：

tidb配置文件：

tikv配置文件：

详细配置和日志文件在下面的打包文件中；
logAndConfig.tgz (388.7 KB)

部署情况：3个节点，每个节点都是PD、TiKV、TiDB

目前不太清楚是否是我的操作、配置出现了问题，还是说因为其他的原因造成的，希望有人能帮助我一下，非常感谢。

yilong · 2021 年4 月 1 日 07:30

Beifein · 2021 年4 月 1 日 08:05

不开启安全认证能正常启动集群，一切都能正常访问，我看了CA文件属主与目录权限，皆为root权限，目录是755，文件是644

工作目录权限也是root和755

yilong · 2021 年4 月 1 日 09:40

您的密钥有密码吗？

Beifein · 2021 年4 月 1 日 09:44

没有的，我是用的官网提供的生成方法，用openssl得到的tls的三个文件

Beifein · 2021 年4 月 1 日 09:59

我尝试了一次在PD 建立客户端连接时打印出CA相关的日志，发现tlsCfg的CA相关字段为空？这是否是一种异常呢？还是我的操作原因呢？

yilong · 2021 年4 月 7 日 02:27

能麻烦您发送下这些CA文件吗？多谢。

buptzhoutian · 2021 年4 月 7 日 07:57

楼主是不是 client-urls 和 peer-urls 忘记改成 https 了？

Beifein · 2021 年4 月 8 日 05:07

似乎我确实没有去更改过这样的一个文件？是怎么改呢？方便提供一下方法吗？谢谢

Beifein · 2021 年4 月 8 日 05:15

可以的，配置文件等相应的我都打包了一下
logAndConfig.tgz (406.5 KB)

buptzhoutian · 2021 年4 月 8 日 06:41

(我没有开启过组件之间加密传输)
不过应该就是把配置写到拓扑文件里，tiup 帮你传过去，比如 PD

server_configs:
  pd:
    client-urls: "https://10.2.2.3:2379"

Beifein · 2021 年4 月 8 日 06:45

好的，我试一试，谢谢您给我提供思路

Beifein · 2021 年4 月 8 日 07:24

在三个节点上分别都改了之后，其结果仍然如上面的报错，但是，似乎看起来确实很有可能是走了http而不是https，我接下来可能会试着朝这个方向思考一下，如果朋友有更好的建议和思路，谢谢提供

yilong · 2021 年4 月 12 日 08:50

您好，抱歉时间比较久。TiUP 部署时在 global 中打开开关就行了，不需要手动配置证书，目前还不支持自定义证书。
https://docs.pingcap.com/zh/tidb/v4.0/tiup-cluster-topology-reference#global
在安装时配置 enable_tls: true
tidb 的不带 cluster- 的那三个参数还是要手工设置了才能开启客户端通信的加密，客户端证书路径在 display 的输出里面能看到

Beifein · 2021 年4 月 12 日 10:23

好的，似乎确实如此，非常感谢。

如果我想要使用自定义的证书，是否是只能通过手动执行那些可执行文件来实现呢？还有其他的方式吗？

yilong · 2021 年4 月 12 日 11:27

那可能需要使用binary 部署，并且修改每个启动脚本下的 http 为 https 了。其他的参考安全文档设置。

Beifein · 2021 年4 月 13 日 01:31

好的，谢谢了，麻烦您了

system · 2022 年10 月 31 日 19:19

此话题已在最后回复的 1 分钟后被自动关闭。不再允许新回复。