在许多情况下，你可能希望加密客户端和服务器之间的流量。为此，可以指定服务器应使用HTTPS协议而不是HTTP。

ssl_ca = ca-cert.pem
ssl_cert = server-cert.pem
ssl_key = server-key.pem

ssl_cert = server-cert.pem
ssl_key = server-key.pem

这些步骤将帮助您使用openssl工具生成SSL证书。

服务器可以使用证书颁发机构来验证证书签名，但也可以仅使用私钥和证书（无需CA证书）进行工作。

openssl genrsa 2048 > ca-key.pem

要从私钥生成自签名CA（根）证书（请确保填写至少“通用名称”），请使用以下命令：

openssl req -new -x509 -nodes -days 365 -key ca-key.pem -out ca-cert.pem

服务器使用服务器证书来保护与客户端的通信。要生成证书请求和服务器私钥（请确保填写至少“通用名称”，并且它不同于根证书的通用名称），执行以下命令：

openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

完成后，可以通过运行以下命令来验证密钥和证书文件是否正确生成：

openssl verify -CAfile ca-cert.pem server-cert.pem

当您的SSL配置有效时，以下功能可用：

• 可以通过HTTPS连接到多协议端口（当未指定监听类型时），并运行查询。请求和响应都将被SSL加密。
• 可以通过HTTP连接到专用的https端口并运行查询。连接将被安全地保护（尝试通过纯HTTP连接到此端口将收到400错误代码）。
• 可以使用安全连接通过MySQL客户端连接到MySQL端口。会话将被安全地保护。请注意，Linux mysql客户端默认尝试使用SSL，因此具有有效SSL配置的Manticore连接通常将是安全的。可以通过在连接后运行SQL 'status'命令来检查这一点。

如果由于任何原因（守护进程通过无法建立安全连接的事实检测到无效配置）SSL配置无效，则除了无效配置之外，还可能存在其他原因，例如根本无法加载适当的SSL库。在这种情况下，以下内容将不起作用或将以非安全方式工作：

• 不能通过HTTPS连接到多协议端口。连接将被断开。
• 不能连接到专用的https端口。HTTPS连接将被断开
• 通过MySQL客户端连接到mysql端口将不支持SSL加密。如果客户端需要SSL，连接将失败。如果不需要SSL，它将使用纯MySQL或压缩连接。

• 二进制API连接（如来自旧客户端或守护进程间主代理通信的连接）不受保护。
• 复制的SSL需要单独设置。但是，由于复制的SST阶段是通过二进制API连接完成的，因此也不受保护。
• 您仍然可以使用任何外部代理（例如SSH隧道）来保护您的连接。

连接的只读模式禁用任何表或全局修改。因此，create、drop、各种类型的alter、attach、optimize以及诸如insert、replace、delete、update等数据修改查询都会被拒绝。在此模式下，也无法使用SET GLOBAL更改守护进程范围的设置。

但是，您仍然可以执行所有搜索操作，生成摘要，并运行CALL PQ查询。此外，您可以修改本地（连接范围内）的设置。

要检查当前连接是否为只读，请执行show variables like 'session_read_only'语句。值为1表示只读，值为0表示非只读（正常）。

通常，您可以通过在listen指令中添加后缀_readonly来定义一个独立的只读模式监听端口。然而，也可以通过执行SQL语句SET ro=1，为当前连接交互式启用只读模式。

如果您连接的是VIP套接字，可以执行SET ro=0（即使您连接的套接字在配置中被定义为只读且不是交互式设置）。这将把连接切换回通常（非只读）模式，允许所有修改操作。

对于标准（非VIP）连接，只有在交互式设置的只读模式下，重新连接才能退出只读模式；或者通过更新配置文件并重启守护进程来退出。