实际上并未支持。TiDB 支持的 TLS/SSL 协议版本为 TLS 1.0、TLS 1.1、 TLS 1.2。 使用加密连接后，连接将具有以下安全性质： 保密性：流量明文无法被窃听； 完整性：流量明文无法被篡改； 身份验证（可选）：客户端和服务端能验证双方身份，避免中间人攻击。 TiDB 的加密连接支持默认是关闭的，必须在 TiDB 服务端通过配置开启加密连接的支持后，才能在客户端中使用加 密连接。另外，与 MySQL TiDB 时，至少需要在配置文件中同时指定 ssl-cert 和 ssl-key 参数，才能使 TiDB 服务端接受加 密连接。还可以指定 ssl-ca 参数进行客户端身份验证（请参见配置启用身份验证章节）。 ssl-cert ：指定 SSL 证书文件路径 ssl-key ：指定证书文件对应的私钥 ssl-ca ：可选，指定受信任的 CA 证书文件路径 参数指定的文件都为 PEM 文档中关于客户端配置安全连接的部分。 若在 TiDB 服务端或 MySQL 客户端中未指定 ssl-ca 参数，则默认不会进行客户端或服务端身份验证，无法抵 御中间人攻击，例如客户端可能会“安全地”连接到了一个伪装的服务端。可以在服务端和客户端中配置 ssl-ca 参 数进行身份验证。一般情况下只需验证服务端身份，但也可以验证客户端身份进一步增强安全性。 若要使 MySQL 客户端验证 TiDB 服务端身份，TiDB

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} -256、GSSAPI • LDAP SASL 身份验证中，验证方法的名称。 2376 14.4.1.3 authentication_ldap_sasl_bind_base_dn 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，搜索用户的范围。如果创建用户时没有通过 AS 默认值：“” • LDAP SASL 身份验证中，TiDB 登录 LDAP Server 搜索用户时使用的 dn。 14.4.1.5 authentication_ldap_sasl_bind_root_pwd 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，TiDB 登录 LDAP Server

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} I • LDAP SASL 身份验证中，验证方法的名称。 14.5.1.3 authentication_ldap_sasl_bind_base_dn 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，搜索用户的范围。如果创建用户时没有通过 SASL 身份验证中，TiDB 登录 LDAP Server 搜索用户时使用的 dn。 14.5.1.5 authentication_ldap_sasl_bind_root_pwd 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，TiDB

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} I • LDAP SASL 身份验证中，验证方法的名称。 14.5.1.3 authentication_ldap_sasl_bind_base_dn 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，搜索用户的范围。如果创建用户时没有通过 SASL 身份验证中，TiDB 登录 LDAP Server 搜索用户时使用的 dn。 14.5.1.5 authentication_ldap_sasl_bind_root_pwd 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，TiDB

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} I • LDAP SASL 身份验证中，验证方法的名称。 14.5.1.3 authentication_ldap_sasl_bind_base_dn 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，搜索用户的范围。如果创建用户时没有通过 SASL 身份验证中，TiDB 登录 LDAP Server 搜索用户时使用的 dn。 14.5.1.5 authentication_ldap_sasl_bind_root_pwd 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，TiDB

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} I • LDAP SASL 身份验证中，验证方法的名称。 14.5.1.3 authentication_ldap_sasl_bind_base_dn 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，搜索用户的范围。如果创建用户时没有通过 SASL 身份验证中，TiDB 登录 LDAP Server 搜索用户时使用的 dn。 14.5.1.5 authentication_ldap_sasl_bind_root_pwd 从 v7.1.0 版本开始引入 • 作用域：GLOBAL • 是否持久化到集群：是 • 是否受 Hint SET_VAR 控制：否 • 类型：字符串 • 默认值：“” • LDAP SASL 身份验证中，TiDB

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 206 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} TLS/SSL 协议版本为 TLSv1.2 和 TLSv1.3。 使用 TLS 安全连接后，连接将具有以下安全性质： • 保密性：流量明文被加密，无法被窃听； • 完整性：流量明文无法被篡改； • 身份验证（可选）：客户端和服务端能验证双方身份，避免中间人攻击。 要为 TiDB 客户端与服务端间的通信开启 TLS 安全传输，首先需要在 TiDB 服务端通过配置开启 TLS 加密连接的 支持，然后通过配置客户端应用程序使用 变量的建议： • 在启动 TiDB 时，至少需要在配置文件中同时指定 ssl-cert 和 ssl-key 参数，才能在 TiDB 服务端开启安 全连接。还可以指定 ssl-ca 参数进行客户端身份验证（请参见配置启用身份验证章节）。 • 参数指定的文件都为 PEM 格式。另外目前 TiDB 尚不支持加载有密码保护的私钥，因此必须提供一个没 有密码的私钥文件。若提供的证书或私钥无效，则 TiDB 服务端将照常启动，但并不支持客户端

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} TLS/SSL 协议版本为 TLSv1.2 和 TLSv1.3。 使用 TLS 安全连接后，连接将具有以下安全性质： • 保密性：流量明文被加密，无法被窃听； • 完整性：流量明文无法被篡改； • 身份验证（可选）：客户端和服务端能验证双方身份，避免中间人攻击。 要为 TiDB 客户端与服务端间的通信开启 TLS 安全传输，首先需要在 TiDB 服务端通过配置开启 TLS 加密连接的 支持，然后通过配置客户端应用程序使用 变量的建议： • 在启动 TiDB 时，至少需要在配置文件中同时指定 ssl-cert 和 ssl-key 参数，才能在 TiDB 服务端开启安 全连接。还可以指定 ssl-ca 参数进行客户端身份验证（请参见配置启用身份验证章节）。 • 参数指定的文件都为 PEM 格式。另外目前 TiDB 尚不支持加载有密码保护的私钥，因此必须提供一个没 有密码的私钥文件。若提供的证书或私钥无效，则 TiDB 服务端将照常启动，但并不支持客户端

{tidb_server_host} TIDB_PORT: 4000 TIDB_USER: {prefix}.root TIDB_PASSWORD: {password} 4. 参考使用短期凭证进行身份验证文档，设置 AWS 环境变量： export AWS_ACCESS_KEY_ID={your_access_key_id} export AWS_SECRET_ACCESS_KEY={your_secret_access_key} TLS/SSL 协议版本为 TLSv1.2 和 TLSv1.3。 使用 TLS 安全连接后，连接将具有以下安全性质： • 保密性：流量明文被加密，无法被窃听； • 完整性：流量明文无法被篡改； • 身份验证（可选）：客户端和服务端能验证双方身份，避免中间人攻击。 要为 TiDB 客户端与服务端间的通信开启 TLS 安全传输，首先需要在 TiDB 服务端通过配置开启 TLS 加密连接的 支持，然后通过配置客户端应用程序使用 变量的建议： • 在启动 TiDB 时，至少需要在配置文件中同时指定 ssl-cert 和 ssl-key 参数，才能在 TiDB 服务端开启安 全连接。还可以指定 ssl-ca 参数进行客户端身份验证（请参见配置启用身份验证章节）。 • 参数指定的文件都为 PEM 格式。另外目前 TiDB 尚不支持加载有密码保护的私钥，因此必须提供一个没 有密码的私钥文件。若提供的证书或私钥无效，则 TiDB 服务端将照常启动，但并不支持客户端

服务器端自动配置并开启加密。要使用 Auto TLS 功能，请在 TiDB 升级前将 TiDB 配 置文件中的security.auto-tls 设置为 true。 • 支持 caching_sha2_password 身份验证方式，简化了从 MySQL 8.0 的迁移操作，并提升了安全性。 2.2.2 新功能 2.2.2.1 SQL • 支持基于部分函数创建表达式索引 (Expression index) 表达 • 可选值：mysql_native_password，caching_sha2_password • 服务器和客户端建立连接时，这个变量用于设置服务器对外通告的默认身份验证方式。如要了解该变 量的其他可选值，参见可用的身份验证插件。 1022 12.4.1.15 default_week_format • 作用域：SESSION | GLOBAL • 是否持久化到集群：是 • 类型：整数 0、TLS 1.1、TLS 1.2、TLS 1.3。 使用加密连接后，连接将具有以下安全性质： • 保密性：流量明文被加密，无法被窃听； 1218 • 完整性：流量明文无法被篡改； • 身份验证（可选）：客户端和服务端能验证双方身份，避免中间人攻击。 要为 TiDB 客户端与服务端间的通信开启 TLS 加密传输，首先需要在 TiDB 服务端通过配置开启 TLS 加密连接的 支持，然后通过配置客户端应用程序使用