Аутентификация сертификатов SSL X.509
Эта страница не применяется к ClickHouse Cloud. Функция, описанная здесь, недоступна в сервисах ClickHouse Cloud. Смотрите руководство по Cloud Compatibility для получения дополнительной информации.
Параметр 'strict' SSL включает обязательное подтверждение сертификатов для входящих подключений. В этом случае могут устанавливаться только соединения с доверенными сертификатами. Соединения с недоверенными сертификатами будут отклонены. Таким образом, подтверждение сертификатов позволяет однозначно аутентифицировать входящее соединение. Поле Common Name или расширение subjectAltName сертификата используется для идентификации подключенного пользователя. Расширение subjectAltName поддерживает использование одного подстановочного знака '*' в конфигурации сервера. Это позволяет ассоциировать несколько сертификатов с одним и тем же пользователем. Кроме того, повторная выдача и отзыва сертификатов не затрагивают конфигурацию ClickHouse.
Чтобы включить аутентификацию по сертификату SSL, в файле настроек users.xml должен быть указан список Common Name или Subject Alt Name для каждого пользователя ClickHouse:
Пример
Чтобы цепочка доверия работала корректно, также важно убедиться, что параметр caConfig настроен правильно.