Аутентификация по сертификату SSL X.509
Эта страница не применима к ClickHouse Cloud. Функция, описанная здесь, недоступна в сервисах ClickHouse Cloud. Смотрите руководство по совместимости с Cloud для получения дополнительной информации.
Опция 'strict' SSL включает обязательную проверку сертификатов для входящих соединений. В этом случае только соединения с доверенными сертификатами могут быть установлены. Соединения с недоверенными сертификатами будут отклонены. Таким образом, проверка сертификатов позволяет уникально аутентифицировать входящее соединение. Поле Common Name или subjectAltName extension сертификата используется для идентификации подключенного пользователя. Расширение subjectAltName поддерживает использование одного подстановочного знака '*' в конфигурации сервера. Это позволяет связать несколько сертификатов с одним и тем же пользователем. Кроме того, переиздание и отмена сертификатов не влияют на конфигурацию ClickHouse.
Для включения аутентификации по сертификату SSL в файле настроек users.xml должен быть указан список Common Name или Subject Alt Name для каждого пользователя ClickHouse:
Пример
Для правильной работы цепочки доверия также важно убедиться, что параметр caConfig настроен правильно.
