从 config.ini 文件而不是运行中的 ndb_mgmd 获取配置信息

创建集群证书颁发机构 (CA) 如果它不存在

创建私钥

将密钥和证书保存为待定而不是活动的

使用命令行选项签名单个节点的密钥

请求远程主机上的 CA 签名本地密钥

--bind-host

创建绑定到主机名列表的证书，来自节点类型集（mgmd、db、api）.

--bound-hostname

创建绑定到传递给该选项的主机名的证书。

--CA-cert

使用传递给该选项的名称作为CA证书文件。

--CA-key

使用传递给该选项的名称作为CA私钥文件。

--CA-ordinal

设置CA名称的序号；默认为 First 对于 --create-CA 和 Second 对于 --rotate-CA。CA证书中的公共名称是 “MySQL NDB Cluster ordinal Certificate”，其中 ordinal 是传递给该选项的序号名称。

--CA-search-path

指定要搜索的CA文件的目录列表。在 Unix 平台上，目录名称用冒号 (:) 分隔；在 Windows 系统上，分号字符 (;) 用作分隔符。目录引用可以是相对的或绝对的，可以包含一个或多个环境变量，每个变量以美元符号 ($) 开头，并在使用前展开。

搜索从左到右进行，直到找到文件。空字符串表示空搜索路径，导致所有搜索失败。点 (.) 表示搜索路径仅限于当前工作目录。

如果未提供搜索路径，则使用编译时的默认值。该值取决于平台：在 Windows 上是 $HOMEPATH\ndb-tls；在其他平台（包括 Linux）上是 $HOME/ndb-tls。可以使用 -DWITH_NDB_TLS_SEARCH_PATH 编译 NDB Cluster 来覆盖该默认值。

--CA-tool

指定一个可执行的帮助工具，包括路径。

--check

检查证书的到期日期。

--config-file

提供集群配置文件（通常是 config.ini）的路径。

--connect-retries

设置ndb_sign_keys尝试连接到集群的次数。如果您使用-1,程序将继续尝试连接直到成功或被强制停止。

--connect-retry-delay

设置ndb_sign_keys在连接尝试失败后等待的秒数，然后再次尝试连接，直到达到--connect-retries确定的次数。

--create-CA

创建 CA 密钥和证书。

--create-key

创建或替换私钥。

--curve

使用命名曲线来加密节点密钥。

--defaults-extra-file

在全局文件读取后读取此选项文件。

--defaults-file

仅读取此选项文件。

--defaults-group-suffix

读取不仅是通常的选项组，还包括具有通常名称和string后缀的组。

--duration

设置证书或签名请求的生命周期，以秒为单位。

--help

打印帮助文本并退出。

--keys-to-dir

指定私钥的输出目录（仅限私钥）; 对于这个目的，它覆盖了--to-dir的任何值。

--login-path

从登录文件中读取此路径。

--ndb-连接字符串

设置用于连接到 ndb_mgmd 的连接字符串，使用语法 [nodeid=id];[host=]主机名[:端口]。如果设置了这个选项，它将覆盖 NDB_CONNECTSTRING 的值（如果有），以及在 my.cnf 文件中的任何值。

--ndb-mgm-tls

设置 ndb_mgm 客户端的 TLS 支持级别；可以是 relaxed 或 strict。relaxed（默认）表示尝试 TLS 连接，但不要求成功：strict 表示需要 TLS 连接。

--ndb-tls-search-path

指定包含 TLS 密钥和证书的目录列表。

语法见 --CA-search-path 选项的描述。

--no-config

不获取集群配置；根据提供的选项（包括默认值）创建单个证书。

--no-defaults

不从任何选项文件中读取默认选项，除了登录文件。

--no-login-paths

不从登录路径文件中读取登录路径。

--passphrase

指定 CA 密钥密码短语。

--node-id

为具有指定节点 ID 的节点创建或签名密钥。

--node-type

为指定类型或类型集合 (mgmd,db,api) 创建或签名密钥。

--pending

将密钥和证书保存为待定，而不是活动的。

--print-defaults

打印程序参数列表，然后退出。

--promote

将pending文件提升到活动状态，然后退出。

--remote-CA-host

指定远程CA主机的地址或主机名。

--remote-exec-path

提供远程CA主机指定的可执行文件的完整路径，以--remote-CA-host。

--remote-openssl

在远程CA主机上使用OpenSSL签名密钥，以--remote-CA-host指定。

--replace-by

建议证书替换日期，以CA到期日期后的天数为单位。使用负数表示到期日期前的天数。

--rotate-CA

将旧的CA替换为新的CA。新的CA可以使用OpenSSL创建，也可以让ndb_sign_keys创建新的CA，在这种情况下，新的CA将使用中间CA证书签名，签名由旧的CA签名。

--schedule

分配证书的到期日期计划。计划定义为以逗号分隔的六个整数列表，如下所示：

api_valid,api_extra,dn_valid,dn_extra,mgm_valid,mgm_extra

这些值定义如下：

换言之，对于每种节点类型（API节点、数据节点、管理节点），证书将被创建具有固定天数的生命周期，加上一些随机时间少于或等于额外天数。默认计划如下所示：

--schedule=120,10,130,10,150,0

按照默认计划，客户端证书将在第120天开始过期，并在随后的10天内随机过期；数据节点证书将在第130天到第140天之间随机过期；管理服务器证书将在第150天过期（无随机间隔）。

--sign

创建签名证书；默认启用。使用--skip-sign创建证书签名请求而不是。

--跳过签名

创建证书签名请求，而不是签名证书。

--stdio

从 stdin 读取证书签名请求，并将 X.509 写入 stdout。

--输出目录

指定创建文件的输出目录。对于私钥文件，可以使用 --keys-to-dir 覆盖。

--使用帮助

打印帮助文本，然后退出（别名为 --帮助）。

--版本信息

打印版本信息，然后退出。