メインコンテンツへスキップ
このページは ClickHouse Cloud には適用されません。ここで説明している機能は ClickHouse Cloud サービスではご利用いただけません。 詳しくは、ClickHouse の Cloud Compatibility ガイドを参照してください。
このガイドでは、SSL ユーザー証明書を使用した認証を設定するための、シンプルで最小限の設定について説明します。このチュートリアルは、TLS の設定ガイドを前提としています。
SSL ユーザー認証は、httpsnativemysqlpostgresql の各インターフェイスを使用する場合にサポートされます。ClickHouse ノードでは、安全な認証のために <verificationMode>strict</verificationMode> を設定する必要があります (ただし、テスト目的であれば relaxed でも動作します) 。MySQL インターフェイスで AWS NLB を使用する場合は、以下の未公開オプションを有効にするよう AWS サポートに依頼する必要があります。
当社の NLB の Proxy Protocol v2 を、以下の proxy_protocol_v2.client_to_server.header_placement,Value=on_first_ack のように設定できるようにしたいです。

1. SSLユーザー証明書を作成する

この例では、自己署名CAによる自己署名証明書を使用します。本番環境では、CSR を作成し、適切な証明書を取得するために PKI チームまたは証明書プロバイダーに提出してください。
  1. Certificate Signing Request (CSR) と秘密鍵を生成します。基本的な形式は次のとおりです。
    この例では、このサンプル環境で使用するドメインとユーザーに対して次を使用します。
CN は任意であり、証明書の識別子として任意の文字列を使用できます。これは、以降の手順でユーザーを作成する際に使用されます。
  1. 認証に使用する新しいユーザー証明書を生成して署名します。基本的な形式は次のとおりです。
    この例では、このサンプル環境で使用するドメインとユーザーに対して次を使用します。

2. SQLユーザーを作成し、権限を付与する

SQLユーザーを有効化してロールを設定する方法の詳細については、SQLユーザーとロールの定義ユーザーガイドを参照してください。
  1. 証明書認証を使用するSQLユーザーを作成します:
  2. 新しい証明書ユーザーに権限を付与します:
この演習では説明のため、このユーザーに管理者権限をすべて付与しています。権限設定については、ClickHouseのRBACドキュメントを参照してください。
ユーザーとロールはSQLで定義することを推奨します。ただし、現在ユーザーとロールを設定ファイルで定義している場合、ユーザーは次のようになります:

3. テスト

  1. ユーザー証明書、ユーザー秘密鍵、CA 証明書をリモートノードにコピーします。
  2. ClickHouse のクライアント設定で、証明書と各パスを指定して OpenSSL を設定します。
  3. clickhouse-client を実行します。
設定ファイルで証明書を指定している場合、clickhouse-client に渡したパスワードは無視される点に注意してください。

4. HTTP のテスト

  1. ユーザー証明書、ユーザー秘密鍵、および CA 証明書をリモートノードにコピーします。
  2. curl を使用して、サンプルの SQL コマンドをテストします。基本的な形式は次のとおりです。
    たとえば、次のようになります。
    出力は次のようになります。
パスワードが指定されていない点に注意してください。証明書がパスワードの代わりに使用され、ClickHouse はそれによってユーザーを認証します。

まとめ

この記事では、SSL証明書認証用のユーザーを作成して設定するための基本事項を説明しました。この方法は、clickhouse-client、または https インターフェイスをサポートし、HTTPヘッダーを設定できる任意のクライアントで使用できます。生成された証明書と秘密鍵は、証明書が ClickHouse データベース上の操作に対するユーザーの認証と認可に使用されるため、非公開にし、アクセスを制限して保管してください。証明書と秘密鍵は、パスワードと同様に扱ってください。
最終更新日 2026年7月2日