> ## Documentation Index
> Fetch the complete documentation index at: https://private-7c7dfe99-mintlify-fbfa8bee.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

> Documentation sur SSL X.509

# Authentification par certificat SSL X.509

<CloudNotSupportedBadge />

<Note>
  Cette page ne s'applique pas à [ClickHouse Cloud](https://clickhouse.com/cloud). La fonctionnalité décrite ici n'est pas disponible dans les services ClickHouse Cloud.
  Consultez le guide ClickHouse [Compatibilité Cloud](/fr/products/cloud/guides/cloud-compatibility) pour plus d'informations.
</Note>

L’[option SSL 'strict'](/fr/reference/settings/server-settings/settings#openssl) active la validation obligatoire des certificats pour les connexions entrantes. Dans ce cas, seules les connexions avec des certificats de confiance peuvent être établies. Les connexions avec des certificats non approuvés seront rejetées. Ainsi, la validation des certificats permet d’authentifier de manière univoque une connexion entrante. Le champ `Common Name` ou `subjectAltName extension` du certificat est utilisé pour identifier l’utilisateur connecté. `subjectAltName extension` prend en charge l’utilisation d’un caractère générique '\*' dans la configuration du serveur. Cela permet d’associer plusieurs certificats à un même utilisateur. De plus, la réémission et la révocation des certificats n’affectent pas la configuration de ClickHouse.

Pour activer l’authentification par certificat SSL, une liste de `Common Name` ou de `Subject Alt Name` pour chaque utilisateur ClickHouse doit être spécifiée dans le fichier de paramètres `users.xml ` :

**Exemple**

```xml theme={null}
<clickhouse>
    <!- ... -->
    <users>
        <user_name_1>
            <ssl_certificates>
                <common_name>host.domain.com:example_user</common_name>
                <common_name>host.domain.com:example_user_dev</common_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_1>
        <user_name_2>
            <ssl_certificates>
                <subject_alt_name>DNS:host.domain.com</subject_alt_name>
                <!-- More names -->
            </ssl_certificates>
            <!-- Other settings -->
        </user_name_2>
        <user_name_3>
            <ssl_certificates>
                <!-- Wildcard support -->
                <subject_alt_name>URI:spiffe://foo.com/*/bar</subject_alt_name>
            </ssl_certificates>
        </user_name_3>
    </users>
</clickhouse>
```

Pour que la [`chaîne de confiance`](https://en.wikipedia.org/wiki/Chain_of_trust) SSL fonctionne correctement, il est également important de s'assurer que le paramètre [`caConfig`](/fr/reference/settings/server-settings/settings#openssl) est bien configuré.
