从 NDB Cluster 8.3 及更高版本开始，TLS 可以用于保护网络通信。在 NDB Transporter 连接中，TLS 使用双向身份验证，每个节点验证其对等节点的证书。节点证书也可以绑定到特定的主机名；在这种情况下，对等节点仅在主机名可以验证时授权证书。

每个节点的证书文件包含它用来验证对等节点证书的整个信任链。通常情况下，这包括其自己的证书和颁发 CA 的证书，但可能包括其他 CA。由于 NDB 集群被认为是一个信任域，因此 CA 应该限制在单个集群中。

要获取签名的节点证书，首先需要创建一个证书颁发机构 (CA)。在 TLS 部署时，每个节点都有一个真实的证书，该证书由 CA 签名。只有管理员 (DBA) 应该拥有访问私钥的权限，以便创建有效的节点证书。

管理节点和 API 节点证书默认情况下会创建主机名绑定。由于 NDB 集群数据节点已经作为节点 ID 分配的一部分进行了主机名检查，默认行为是不添加额外的主机名检查用于 TLS。

证书在到期日期后将不再有效。为了尽量减少证书到期对系统可用性的影响，集群应该拥有多个证书，具有错开的到期日期；客户端证书应该最先到期，接着是数据节点证书，然后是管理服务器证书。为了实现错开的到期日期，每个证书都与节点类型相关；给定的节点仅使用适合的类型的密钥和证书。

私钥是在原地创建的；私钥文件的复制被最小化。私钥和证书都被标记为活动的 (当前) 或待处理的。可以旋转密钥，以便在活动密钥到期之前将待处理密钥替换为活动密钥。

由于涉及到的文件数量可能很大，NDB遵循一些命名约定来存储密钥、签名请求和证书文件。这些名称不可配置，虽然用户可以确定这些文件存储的目录。

默认情况下，NDB 集群 CA 私钥受到密码保护，该密码必须在创建签名节点证书时提供。节点私钥存储未加密，以便在节点启动时自动打开。私钥文件为只读 (Unix 文件模式 0400)。