Перейти к основному содержанию
Эта страница не применима к ClickHouse Cloud. Описанная здесь возможность недоступна в сервисах ClickHouse Cloud. Дополнительные сведения см. в руководстве ClickHouse Cloud Compatibility.
Параметр SSL ‘strict’ включает обязательную проверку сертификатов для входящих соединений. В этом случае могут устанавливаться только соединения с доверенными сертификатами. Соединения с недоверенными сертификатами будут отклоняться. Таким образом, проверка сертификатов позволяет однозначно аутентифицировать входящее соединение. Для идентификации подключённого пользователя используется поле сертификата Common Name или subjectAltName extension. subjectAltName extension поддерживает использование одного символа подстановки ’*’ в конфигурации сервера. Это позволяет сопоставить несколько сертификатов одному и тому же пользователю. Кроме того, перевыпуск и отзыв сертификатов не влияют на конфигурацию ClickHouse. Чтобы включить аутентификацию по SSL-сертификатам, в файле настроек users.xml необходимо указать список Common Name или Subject Alt Name для каждого пользователя ClickHouse: Пример 
<clickhouse>
    <!- ... -->
    <users>
        <user_name_1>
            <ssl_certificates>
                <common_name>host.domain.com:example_user</common_name>
                <common_name>host.domain.com:example_user_dev</common_name>
                <!-- Другие имена -->
            </ssl_certificates>
            <!-- Другие настройки -->
        </user_name_1>
        <user_name_2>
            <ssl_certificates>
                <subject_alt_name>DNS:host.domain.com</subject_alt_name>
                <!-- Другие имена -->
            </ssl_certificates>
            <!-- Другие настройки -->
        </user_name_2>
        <user_name_3>
            <ssl_certificates>
                <!-- Поддержка wildcards -->
                <subject_alt_name>URI:spiffe://foo.com/*/bar</subject_alt_name>
            </ssl_certificates>
        </user_name_3>
    </users>
</clickhouse>
Чтобы SSL-цепочка доверия работала корректно, также важно убедиться, что параметр caConfig настроен правильно.
Последнее изменение 10 июня 2026 г.