跳至主要内容

配置使用 SSL 用户证书进行身份验证

注意

此页面不适用于 ClickHouse 云。 此处记录的功能在 ClickHouse 云服务中不可用。 有关更多信息,请参阅 ClickHouse 云兼容性 指南。

本指南提供用于配置使用 SSL 用户证书进行身份验证的简单且最少的设置。 本教程建立在 配置 SSL-TLS 用户指南 的基础之上。

注意

仅当使用 https 或本机接口时才支持 SSL 用户身份验证。 目前它不用于 gRPC 或 PostgreSQL/MySQL 模拟端口。

ClickHouse 节点需要设置 <verificationMode>strict</verificationMode> 以进行安全身份验证(尽管 relaxed 可用于测试目的)。

1. 创建 SSL 用户证书

注意

此示例使用带有自签名 CA 的自签名证书。 对于生产环境,请创建一个 CSR 并将其提交给您的 PKI 团队或证书提供商以获取适当的证书。

  1. 生成证书签名请求 (CSR) 和密钥。 基本格式如下

    openssl req -newkey rsa:2048 -nodes -subj "/CN=<my_host>:<my_user>"  -keyout <my_cert_name>.key -out <my_cert_name>.csr

    在此示例中,我们将使用此示例环境中将使用的域和用户

    openssl req -newkey rsa:2048 -nodes -subj "/CN=chnode1.marsnet.local:cert_user"  -keyout chnode1_cert_user.key -out chnode1_cert_user.csr
    注意

    CN 是任意的,任何字符串都可以用作证书的标识符。 它在以下步骤中创建用户时使用。

  2. 生成并签名将用于身份验证的新用户证书。 基本格式如下

    openssl x509 -req -in <my_cert_name>.csr -out <my_cert_name>.crt -CA <my_ca_cert>.crt -CAkey <my_ca_cert>.key -days 365

    在此示例中,我们将使用此示例环境中将使用的域和用户

    openssl x509 -req -in chnode1_cert_user.csr -out chnode1_cert_user.crt -CA marsnet_ca.crt -CAkey marsnet_ca.key -days 365

2. 创建 SQL 用户并授予权限

注意

有关如何启用 SQL 用户和设置角色的详细信息,请参阅 定义 SQL 用户和角色 用户指南。

  1. 创建一个定义为使用证书身份验证的 SQL 用户

    CREATE USER cert_user IDENTIFIED WITH ssl_certificate CN 'chnode1.marsnet.local:cert_user';

  2. 向新的证书用户授予权限

    GRANT ALL ON *.* TO cert_user WITH GRANT OPTION;
    注意

    在此练习中,出于演示目的,用户被授予了完全的管理员权限。 有关权限设置,请参阅 ClickHouse RBAC 文档

    注意

    我们建议使用 SQL 来定义用户和角色。 但是,如果您当前在配置文件中定义用户和角色,则用户将如下所示

    <users>
        <cert_user>
            <ssl_certificates>
                <common_name>chnode1.marsnet.local:cert_user</common_name>
            </ssl_certificates>
            <networks>
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <access_management>1</access_management>
            <!-- additional options-->
        </cert_user>
    </users>

3. 测试

  1. 将用户证书、用户密钥和 CA 证书复制到远程节点。

  2. 在 ClickHouse 客户端配置 中使用证书和路径配置 OpenSSL。

    <openSSL>
        <client>
            <certificateFile>my_cert_name.crt</certificateFile>
            <privateKeyFile>my_cert_name.key</privateKeyFile>
            <caConfig>my_ca_cert.crt</caConfig>
        </client>
    </openSSL>

  3. 运行 clickhouse-client

    clickhouse-client --user <my_user> --query 'SHOW TABLES'
    注意

    请注意,当在配置中指定证书时,传递给 clickhouse-client 的密码将被忽略。

4. 测试 HTTP

  1. 将用户证书、用户密钥和 CA 证书复制到远程节点。

  2. 使用 curl 测试一个示例 SQL 命令。 基本格式为

    echo 'SHOW TABLES' | curl 'https://<clickhouse_node>:8443' --cert <my_cert_name>.crt --key <my_cert_name>.key --cacert <my_ca_cert>.crt -H "X-ClickHouse-SSL-Certificate-Auth: on" -H "X-ClickHouse-User: <my_user>" --data-binary @-

    例如

    echo 'SHOW TABLES' | curl 'https://chnode1:8443' --cert chnode1_cert_user.crt --key chnode1_cert_user.key --cacert marsnet_ca.crt -H "X-ClickHouse-SSL-Certificate-Auth: on" -H "X-ClickHouse-User: cert_user" --data-binary @-

    输出将类似于以下内容

    INFORMATION_SCHEMA
    default
    information_schema
    system
    注意

    请注意,没有指定密码,证书用于代替密码,并且 ClickHouse 将使用它来验证用户身份。

总结

本文介绍了创建和配置用于 SSL 证书身份验证的用户的基本知识。 此方法可用于 clickhouse-client 或任何支持 https 接口以及可以设置 HTTP 标头的客户端。 生成的证书和密钥应保密并限制访问,因为证书用于验证和授权用户对 ClickHouse 数据库的操作。 将证书和密钥视为密码。