Passer au contenu principal
Cette page ne s’applique pas à ClickHouse Cloud. La fonctionnalité décrite ici n’est pas disponible dans les services ClickHouse Cloud. Consultez le guide ClickHouse Compatibilité Cloud pour plus d’informations.
L’option SSL ‘strict’ active la validation obligatoire des certificats pour les connexions entrantes. Dans ce cas, seules les connexions avec des certificats de confiance peuvent être établies. Les connexions avec des certificats non approuvés seront rejetées. Ainsi, la validation des certificats permet d’authentifier de manière univoque une connexion entrante. Le champ Common Name ou subjectAltName extension du certificat est utilisé pour identifier l’utilisateur connecté. subjectAltName extension prend en charge l’utilisation d’un caractère générique ’*’ dans la configuration du serveur. Cela permet d’associer plusieurs certificats à un même utilisateur. De plus, la réémission et la révocation des certificats n’affectent pas la configuration de ClickHouse. Pour activer l’authentification par certificat SSL, une liste de Common Name ou de Subject Alt Name pour chaque utilisateur ClickHouse doit être spécifiée dans le fichier de paramètres users.xml  : Exemple
<clickhouse>
    <!- ... -->
    <users>
        <user_name_1>
            <ssl_certificates>
                <common_name>host.domain.com:example_user</common_name>
                <common_name>host.domain.com:example_user_dev</common_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_1>
        <user_name_2>
            <ssl_certificates>
                <subject_alt_name>DNS:host.domain.com</subject_alt_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_2>
        <user_name_3>
            <ssl_certificates>
                <!-- Wildcard support -->
                <subject_alt_name>URI:spiffe://foo.com/*/bar</subject_alt_name>
            </ssl_certificates>
        </user_name_3>
    </users>
</clickhouse>
Pour que la chaîne de confiance SSL fonctionne correctement, il est également important de s’assurer que le paramètre caConfig est bien configuré.
Dernière modification le 29 juin 2026