ssl_ca：憑證授權單位 (CA) 憑證檔案的路徑名稱。(ssl_capath 類似，但指定 CA 憑證檔案目錄的路徑名稱。)

ssl_cert：伺服器公開金鑰憑證檔案的路徑名稱。此憑證可以傳送給用戶端，並根據用戶端擁有的 CA 憑證進行驗證。

ssl_key：伺服器私密金鑰檔案的路徑名稱。

若要使用 CHANGE REPLICATION SOURCE TO 指定複本的憑證和 SSL 私鑰檔案，請加入適當的 SOURCE_SSL_xxx 選項，如下所示：

    -> SOURCE_SSL_CA = 'ca_file_name',
    -> SOURCE_SSL_CAPATH = 'ca_directory_name',
    -> SOURCE_SSL_CERT = 'cert_file_name',
    -> SOURCE_SSL_KEY = 'key_file_name',

這些選項對應於具有相同名稱的 --ssl-xxx 選項，如加密連線的命令選項所述。要使這些選項生效，還必須設定 SOURCE_SSL=1。對於複寫連線，指定 SOURCE_SSL_CA 或 SOURCE_SSL_CAPATH 的值相當於設定 --ssl-mode=VERIFY_CA。只有在使用指定的資訊找到有效的相符憑證授權單位 (CA) 憑證時，連線嘗試才會成功。

若要啟用主機名稱身分驗證，請加入 SOURCE_SSL_VERIFY_SERVER_CERT 選項，如下所示：

    -> SOURCE_SSL_VERIFY_SERVER_CERT=1,

對於複寫連線，指定 SOURCE_SSL_VERIFY_SERVER_CERT=1 相當於設定 --ssl-mode=VERIFY_IDENTITY，如加密連線的命令選項中所述。要使此選項生效，還必須設定 SOURCE_SSL=1。主機名稱身分驗證不適用於自我簽署的憑證。

若要啟用憑證撤銷清單 (CRL) 檢查，請加入 SOURCE_SSL_CRL 或 SOURCE_SSL_CRLPATH 選項，如下所示：

    -> SOURCE_SSL_CRL = 'crl_file_name',
    -> SOURCE_SSL_CRLPATH = 'crl_directory_name',

這些選項對應於具有相同名稱的 --ssl-xxx 選項，如加密連線的命令選項中所述。如果未指定這些選項，則不會執行 CRL 檢查。

若要指定複本允許用於複寫連線的密碼、密碼套件和加密協定的清單，請使用 SOURCE_SSL_CIPHER、SOURCE_TLS_VERSION 和 SOURCE_TLS_CIPHERSUITES 選項，如下所示：

    -> SOURCE_SSL_CIPHER = 'cipher_list',
    -> SOURCE_TLS_VERSION = 'protocol_list',
    -> SOURCE_TLS_CIPHERSUITES = 'ciphersuite_list',

您可以在這些清單中指定的協定、密碼和密碼套件取決於用於編譯 MySQL 的 SSL 程式庫。有關格式、允許的值以及如果您未指定選項時的預設值，請參閱第 8.3.2 節「加密連線 TLS 協定和密碼」。

更新來源資訊後，在複本上啟動複寫程序，如下所示：

mysql> START REPLICA;

您可以使用 SHOW REPLICA STATUS 陳述式來確認已成功建立加密連線。

要求複本使用加密連線並不能確保來源要求複本使用加密連線。如果您想要確保來源只接受使用加密連線的複本，請在來源上使用 REQUIRE SSL 選項建立複寫使用者帳戶，然後授予該使用者 REPLICATION SLAVE 權限。例如：

mysql> CREATE USER 'repl'@'%.example.com' IDENTIFIED BY 'password'
    -> REQUIRE SSL;
mysql> GRANT REPLICATION SLAVE ON *.*
    -> TO 'repl'@'%.example.com';

如果您在來源上已有複寫使用者帳戶，您可以使用以下陳述式將 REQUIRE SSL 加入其中：

mysql> ALTER USER 'repl'@'%.example.com' REQUIRE SSL;