結論、以下の通りにやりましょう。
https://www.howtoforge.com/tutorial/how-to-enable-ssl-and-remote-connections-for-mysql-on-centos-7/
mysql5.7はデフォルトでyasslというものを採用しているようで、
centOS7デフォルトのopensslで証明書関連の作業をするとすんなりいかない。
ので、作業の途中に
openssl rsa -in server-key.pem -out server-key.pem
openssl rsa -in client-key.pem -out client-key.pem
といった感じに一手間必要。
あとはmy.cnfの[mysqld] セクションに
bind-address = *
require_secure_transport = ON
とでも書けばオッケー