SSL X.509 证书认证

ClickHouse Cloud 中不支持

注意

此页面不适用于 ClickHouse Cloud。此处记录的功能在 ClickHouse Cloud 服务中不可用。有关更多信息，请参阅 ClickHouse Cloud 兼容性指南。

SSL 'strict' 选项启用对传入连接的强制证书验证。在这种情况下，只有具有受信任证书的连接才能建立。具有不受信任证书的连接将被拒绝。因此，证书验证允许唯一地验证传入连接。证书的 Common Name 或 subjectAltName extension 字段用于标识连接的用户。 subjectAltName extension 支持在服务器配置中使用一个通配符 '*'。这允许将多个证书与同一用户关联。此外，证书的重新颁发和吊销不会影响 ClickHouse 配置。

要启用 SSL 证书身份验证，必须在设置文件 users.xml 中为每个 ClickHouse 用户指定 Common Name 或 Subject Alt Name 列表

示例

<clickhouse>
    <!- ... -->
    <users>
        <user_name_1>
            <ssl_certificates>
                <common_name>host.domain.com:example_user</common_name>
                <common_name>host.domain.com:example_user_dev</common_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_1>
        <user_name_2>
            <ssl_certificates>
                <subject_alt_name>DNS:host.domain.com</subject_alt_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_2>
        <user_name_3>
            <ssl_certificates>
                <!-- Wildcard support -->
                <subject_alt_name>URI:spiffe://foo.com/*/bar</subject_alt_name>
            </ssl_certificates>
        </user_name_3>
    </users>
</clickhouse>

为了使 SSL chain of trust 正常工作，确保正确配置 caConfig 参数也很重要。