ssl_ca：证书颁发机构（CA）证书文件的路径名。（ssl_capath 类似，但指定了 CA 证书文件目录的路径名。）

ssl_cert：服务器公钥证书文件的路径名。该证书可以发送给客户端，并与客户端拥有的 CA 证书进行身份验证。

ssl_key：服务器私钥文件的路径名。

要使用 CHANGE REPLICATION SOURCE TO 语句命名副本服务器的证书和 SSL 私钥文件，请添加适当的 SOURCE_SSL_xxx 选项，如下所示：

    -> SOURCE_SSL_CA = 'ca_file_name',
    -> SOURCE_SSL_CAPATH = 'ca_directory_name',
    -> SOURCE_SSL_CERT = 'cert_file_name',
    -> SOURCE_SSL_KEY = 'key_file_name',

这些选项对应于具有相同名称的 --ssl-xxx 选项，如 命令选项以加密连接 中所述。为了使这些选项生效，SOURCE_SSL=1 也必须被设置。

要激活主机名身份验证，请添加 SOURCE_SSL_VERIFY_SERVER_CERT 选项，如下所示：

    -> SOURCE_SSL_VERIFY_SERVER_CERT=1,

对于复制连接，指定 SOURCE_SSL_VERIFY_SERVER_CERT=1 对应于设置 --ssl-mode=VERIFY_IDENTITY，如 命令选项以加密连接 中所述。为了使该选项生效，SOURCE_SSL=1 也必须被设置。主机名身份验证不适用于自签名证书。

要激活证书撤销列表（CRL）检查，请添加 SOURCE_SSL_CRL 或 SOURCE_SSL_CRLPATH 选项，如下所示：

    -> SOURCE_SSL_CRL = 'crl_file_name',
    -> SOURCE_SSL_CRLPATH = 'crl_directory_name',

这些选项对应于具有相同名称的 --ssl-xxx 选项，如 命令选项以加密连接 中所述。如果它们没有被指定，则不进行 CRL 检查。

要指定副本服务器允许的加密连接的密码、密码套件和加密协议，请使用 SOURCE_SSL_CIPHER、SOURCE_TLS_VERSION 和 SOURCE_TLS_CIPHERSUITES 选项，如下所示：

    -> SOURCE_SSL_CIPHER = 'cipher_list',
    -> SOURCE_TLS_VERSION = 'protocol_list',
    -> SOURCE_TLS_CIPHERSUITES = 'ciphersuite_list',

您在这些列表中指定的协议、加密算法和加密套件取决于编译 MySQL 的 SSL 库。有关格式、允许的值和默认值的信息，请参阅 第 8.3.2 节，“加密连接 TLS 协议和加密算法”。

更新源信息后，在复制服务器上启动复制过程，如下所示：

mysql> START REPLICA;

您可以使用 SHOW REPLICA STATUS 语句确认加密连接是否成功建立。

在复制服务器上要求加密连接并不确保源要求从复制服务器连接使用加密连接。如果您想确保源仅接受使用加密连接的复制服务器，请在源上创建一个复制用户账户，使用 REQUIRE SSL 选项，然后授予该用户 REPLICATION SLAVE 权限。例如：

mysql> CREATE USER 'repl'@'%.example.com' IDENTIFIED BY 'password'
    -> REQUIRE SSL;
mysql> GRANT REPLICATION SLAVE ON *.*
    -> TO 'repl'@'%.example.com';

如果您已经在源上有一个现有的复制用户账户，您可以使用以下语句将 REQUIRE SSL 添加到该账户中：

mysql> ALTER USER 'repl'@'%.example.com' REQUIRE SSL;