SSL X.509 证书身份验证
Not supported in ClickHouse Cloud
注意
本页面不适用于 ClickHouse Cloud。此处介绍的功能在 ClickHouse Cloud 服务中不可用。 有关更多信息,请参阅 ClickHouse 的 Cloud Compatibility 指南。
SSL 'strict' option 会对传入连接启用强制证书验证。在这种情况下,只能建立使用受信任证书的连接,使用不受信任证书的连接将被拒绝。因此,通过证书验证可以对传入连接进行唯一标识和认证。证书中的 Common Name 或 subjectAltName extension 字段用于标识已连接的用户。subjectAltName extension 在服务器配置中支持使用一个通配符 '*',这允许将多个证书关联到同一用户。此外,重新签发和吊销证书不会影响 ClickHouse 的配置。
要启用 SSL 证书认证,必须在配置文件 users.xml 中为每个 ClickHouse 用户指定 Common Name 或 Subject Alt Name 的列表:
示例
为了确保 SSL 的 chain of trust 能正常工作,还必须确保正确配置 caConfig 参数。