ssl_ca：证书颁发机构 (CA) 证书文件的路径名。(--ssl-capath类似但指定了 CA 证书文件目录的路径名。)

ssl_cert: 服务器公钥证书文件的路径名。该证书可以发送到客户端并根据它拥有的 CA 证书进行身份验证。

ssl_key: 服务器私钥文件的路径名。

要使用 命名副本的证书和 SSL 私钥文件CHANGE MASTER TO，请添加适当的 选项，如下所示： MASTER_SSL_xxx

    -> MASTER_SSL_CA = 'ca_file_name',
    -> MASTER_SSL_CAPATH = 'ca_directory_name',
    -> MASTER_SSL_CERT = 'cert_file_name',
    -> MASTER_SSL_KEY = 'key_file_name',

这些选项对应于 具有相同名称的选项，如 加密连接的命令选项中所述。要使这些选项生效，还必须进行设置。对于复制连接，为或 指定一个值对应于设置 。仅当使用指定信息找到有效的匹配证书颁发机构 (CA) 证书时，连接尝试才会成功。 --ssl-xxxMASTER_SSL=1MASTER_SSL_CAMASTER_SSL_CAPATH--ssl-mode=VERIFY_CA

要激活主机名身份验证，请添加 MASTER_SSL_VERIFY_SERVER_CERT选项：

    -> MASTER_SSL_VERIFY_SERVER_CERT=1,

此选项对应于从 --ssl-verify-server-certMySQL 5.7.11 开始弃用并在 MySQL 8.0 中删除的选项。对于复制连接，指定 MASTER_SSL_VERIFY_SERVER_CERT=1对应于设置--ssl-mode=VERIFY_IDENTITY，如加密连接的命令选项中所述。要使此选项生效， MASTER_SSL=1还必须进行设置。主机名身份验证不适用于自签名证书。

要激活证书撤销列表 (CRL) 检查，请添加 MASTER_SSL_CRL或 MASTER_SSL_CRLPATH选项，如下所示：

    -> MASTER_SSL_CRL = 'crl_file_name',
    -> MASTER_SSL_CRLPATH = 'crl_directory_name',

这些选项对应于 具有相同名称的选项，如 加密连接的命令选项中所述。如果未指定，则不会进行 CRL 检查。 --ssl-xxx

要为复制连接指定副本允许的密码和加密协议列表，请添加 MASTER_SSL_CIPHER和 MASTER_TLS_VERSION选项，如下所示：

    -> MASTER_SSL_CIPHER = 'cipher_list',
    -> MASTER_TLS_VERSION = 'protocol_list',
    -> SOURCE_TLS_CIPHERSUITES = 'ciphersuite_list',

该MASTER_SSL_CIPHER选项指定复制连接的副本允许的密码列表，一个或多个密码名称由冒号分隔。该MASTER_TLS_VERSION选项指定副本允许的用于复制连接的加密协议。格式类似于 tls_version系统变量的格式，具有一个或多个逗号分隔的协议版本。您可以在这些列表中使用的协议和密码取决于用于编译 MySQL 的 SSL 库。有关格式和允许值的信息，请参阅 第 6.3.2 节，“加密连接 TLS 协议和密码”。

更新源信息后，在副本上启动复制过程，如下所示：

mysql> START SLAVE;

您可以使用该SHOW SLAVE STATUS语句来确认已成功建立加密连接。

要求副本上的加密连接并不能确保源需要来自副本的加密连接。如果要确保源仅接受使用加密连接进行连接的副本，请使用该REQUIRE SSL选项在源上创建一个复制用户帐户，然后授予该用户 REPLICATION SLAVE权限。例如：

mysql> CREATE USER 'repl'@'%.example.com' IDENTIFIED BY 'password'
    -> REQUIRE SSL;
mysql> GRANT REPLICATION SLAVE ON *.*
    -> TO 'repl'@'%.example.com';

如果您在源上有一个现有的复制用户帐户，您可以REQUIRE SSL使用以下语句添加到它：

mysql> ALTER USER 'repl'@'%.example.com' REQUIRE SSL;