الانتقال إلى المحتوى الرئيسي
هذه الصفحة لا تنطبق على ClickHouse Cloud. الميزة الموثقة هنا غير متاحة في خدمات ClickHouse Cloud. راجع دليل التوافق مع Cloud الخاص بـ ClickHouse لمزيد من المعلومات.
يُفعِّل خيار SSL ‘strict’ التحقق الإلزامي من الشهادات للاتصالات الواردة. في هذه الحالة، لا يمكن إنشاء إلا الاتصالات التي تستخدم شهادات موثوقة. وستُرفَض الاتصالات التي تستخدم شهادات غير موثوقة. وبذلك، يتيح التحقق من الشهادات المصادقة الفريدة على الاتصال الوارد. ويُستخدَم الحقل Common Name أو subjectAltName extension في الشهادة لتحديد هوية المستخدم المتصل. كما يدعم subjectAltName extension استخدام محرف بديل واحد ’*’ في تكوين الخادم. وهذا يتيح ربط عدة شهادات بالمستخدم نفسه. بالإضافة إلى ذلك، فإن إعادة إصدار الشهادات وإبطالها لا يؤثران في تكوين ClickHouse. لتمكين المصادقة باستخدام شهادة SSL، يجب تحديد قائمة من قيم Common Name أو Subject Alt Name لكل مستخدم في ClickHouse في ملف الإعدادات users.xml : مثال
<clickhouse>
    <!- ... -->
    <users>
        <user_name_1>
            <ssl_certificates>
                <common_name>host.domain.com:example_user</common_name>
                <common_name>host.domain.com:example_user_dev</common_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_1>
        <user_name_2>
            <ssl_certificates>
                <subject_alt_name>DNS:host.domain.com</subject_alt_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_2>
        <user_name_3>
            <ssl_certificates>
                <!-- Wildcard support -->
                <subject_alt_name>URI:spiffe://foo.com/*/bar</subject_alt_name>
            </ssl_certificates>
        </user_name_3>
    </users>
</clickhouse>
لكي تعمل سلسلة الثقة في SSL كما ينبغي، من المهم أيضًا التأكد من ضبط المعلمة caConfig على النحو الصحيح.
آخر تعديل في ٢٩ يونيو ٢٠٢٦