ssl_ca：证书颁发机构 (CA) 证书文件的路径名。(ssl_capath 类似，但指定了 CA 证书文件目录的路径名)。

ssl_cert：服务器公钥证书文件的路径名。此证书可以发送到客户端，并根据它拥有的 CA 证书进行身份验证。

ssl_key：服务器私钥文件的路径名。

要使用 CHANGE REPLICATION SOURCE TO 命名副本的证书和 SSL 私钥文件，请添加相应的 SOURCE_SSL_xxx 选项，如下所示

    -> SOURCE_SSL_CA = 'ca_file_name',
    -> SOURCE_SSL_CAPATH = 'ca_directory_name',
    -> SOURCE_SSL_CERT = 'cert_file_name',
    -> SOURCE_SSL_KEY = 'key_file_name',

这些选项对应于具有相同名称的 --ssl-xxx 选项，如 加密连接的命令选项 中所述。为了使这些选项生效，还必须设置 SOURCE_SSL=1。对于复制连接，为 SOURCE_SSL_CA 或 SOURCE_SSL_CAPATH 中的任一选项指定一个值，相当于设置 --ssl-mode=VERIFY_CA。只有在使用指定的 信息找到有效的匹配证书颁发机构 (CA) 证书时，连接尝试才会成功。

要激活主机名身份验证，请添加 SOURCE_SSL_VERIFY_SERVER_CERT 选项，如下所示

    -> SOURCE_SSL_VERIFY_SERVER_CERT=1,

对于复制连接，指定 SOURCE_SSL_VERIFY_SERVER_CERT=1 等同于设置 --ssl-mode=VERIFY_IDENTITY，如 加密连接的命令选项 中所述。要使此选项生效，还必须设置 SOURCE_SSL=1。主机名身份验证不适用于自签名证书。

要激活证书吊销列表 (CRL) 检查，请添加 SOURCE_SSL_CRL 或 SOURCE_SSL_CRLPATH 选项，如下所示

    -> SOURCE_SSL_CRL = 'crl_file_name',
    -> SOURCE_SSL_CRLPATH = 'crl_directory_name',

这些选项对应于名称相同的 --ssl-xxx 选项，如 加密连接的命令选项 中所述。如果未指定它们，则不会进行 CRL 检查。

要指定副本在复制连接中允许的密码、密码套件和加密协议列表，请使用 SOURCE_SSL_CIPHER、SOURCE_TLS_VERSION 和 SOURCE_TLS_CIPHERSUITES 选项，如下所示

    -> SOURCE_SSL_CIPHER = 'cipher_list',
    -> SOURCE_TLS_VERSION = 'protocol_list',
    -> SOURCE_TLS_CIPHERSUITES = 'ciphersuite_list',

您可以在这些列表中指定的协议、密码和密码套件取决于用于编译 MySQL 的 SSL 库。有关格式、允许的值以及如果您未指定选项的默认值的信息，请参阅 第 8.3.2 节，“加密连接 TLS 协议和密码”。

更新源信息后，像这样在副本上启动复制过程

mysql> START REPLICA;

您可以使用 SHOW REPLICA STATUS 语句来确认是否已成功建立加密连接。

在副本上要求加密连接并不能保证源要求来自副本的加密连接。如果您想确保源只接受使用加密连接连接的副本，请使用 REQUIRE SSL 选项在源上创建一个复制用户帐户，然后授予该用户 REPLICATION SLAVE 权限。例如

mysql> CREATE USER 'repl'@'%.example.com' IDENTIFIED BY 'password'
    -> REQUIRE SSL;
mysql> GRANT REPLICATION SLAVE ON *.*
    -> TO 'repl'@'%.example.com';

如果您在源上已有现有的复制用户帐户，则可以使用以下语句向其添加 REQUIRE SSL

mysql> ALTER USER 'repl'@'%.example.com' REQUIRE SSL;