TLS 可以用于在 NDB 集群 8.3 及更高版本中安全地保护网络通信。使用 TLS 加密的 NDB Transporter 连接采用 TLS 互斥认证，各个节点验证其对端的证书。一台节点的证书也可以绑定到特定的主机名；在这种情况下，对端仅在主机名可被验证时才授权该证书。

一个节点自己的证书文件包含它用于验证对端证书的整个信任链。这通常只包括其自身的证书和签发机构的证书，但可能还包括额外的中间机构。由于 NDB 集群被认为是一个信任领域，签发机构应该限定在单个集群内。

为了获得签名的节点证书，首先需要创建一个认证机构（CA）。当 TLS 被部署时，每一台节点都有一个可信的证书，这些证书由 CA 签名。只有管理员（DBA）才能访问私钥，该私钥用于创建有效的节点证书。

默认情况下，管理和 API 节点证书具有主机名绑定。由于 NDB 集群数据节点已经在节点 ID 分配过程中受到主机名检查，因此对于 TLS 的默认行为是不会添加额外的主机名检查。

一旦到达有效期限，一张证书就失效。为了减少证书过期对系统可用性的影响，集群应该有多个证书，其有效期分散；客户端证书应最先过期，再是数据节点证书，然后是管理服务器证书。为了简化分散的有效期设置，每张证书都与一个节点类型相关联；给定节点只使用适当类型的密钥和证书。

私钥是在创建时直接生成的；为了减少包含私钥文件的复制，文件的复制是被最小化的。私钥和证书都被标记为活跃（当前）或待定。可以通过将待定的密钥用来替换即将过期的活跃密钥来实现密钥轮转。

由于可能涉及到的文件数量较多，NDB遵循几个命名约定来存储密钥、签名请求和证书。这些名称是不可配置的，但用户可以确定这些文件被存储在哪些目录中。

默认情况下，NDB集群CA私钥由密码保护，当创建已签名节点证书时必须提供此密码。节点私钥是未加密的，因此它们可以在节点启动时自动打开。私钥文件是只读的（Unix文件权限为0400）。