SSL X.509 证书认证
注意
此页面不适用于 ClickHouse 云。此处记录的功能在 ClickHouse 云服务中不可用。有关更多信息,请参阅 ClickHouse 云兼容性 指南。
SSL 'strict' 选项 启用对传入连接的强制证书验证。在这种情况下,只有使用受信任证书的连接才能建立。使用不受信任证书的连接将被拒绝。因此,证书验证允许唯一地对传入连接进行身份验证。证书的 Common Name 或 subjectAltName 扩展 字段用于标识已连接的用户。subjectAltName 扩展 支持在服务器配置中使用一个通配符 '*'。这允许将多个证书与同一个用户关联。此外,证书的重新颁发和撤销不会影响 ClickHouse 配置。
要启用 SSL 证书身份验证,必须在 settings 文件 users.xml 中为每个 ClickHouse 用户指定 Common Name 或 Subject Alt Name 的列表。
示例
<clickhouse>
<!- ... -->
<users>
<user_name_1>
<ssl_certificates>
<common_name>host.domain.com:example_user</common_name>
<common_name>host.domain.com:example_user_dev</common_name>
<!-- More names -->
</ssl_certificates>
<!-- Other settings -->
</user_name_1>
<user_name_2>
<ssl_certificates>
<subject_alt_name>DNS:host.domain.com</subject_alt_name>
<!-- More names -->
</ssl_certificates>
<!-- Other settings -->
</user_name_2>
<user_name_3>
<ssl_certificates>
<!-- Wildcard support -->
<subject_alt_name>URI:spiffe://foo.com/*/bar</subject_alt_name>
</ssl_certificates>
</user_name_3>
</users>
</clickhouse>