ClickHouse の SSL 証明書検証エラーの解決方法

ClickHouse におけるコード 210 の SSL 証明書検証エラーの解決

このエラーは通常、次のように報告されます。 Code: 210. DB::NetException: SSL Exception: error:1000007d:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED

エラーの原因

このエラーは、clickhouse-client を使用して ClickHouseサーバーへの接続を試行している際に発生します。原因は、次のいずれかです。

クライアントの設定ファイル config.xml に、マシンのデフォルトの CA ストア内のルート証明書が含まれていない
自己署名証明書または内部 CA 証明書が設定されていない

解決策

内部CAまたは自己署名CAを使用する場合は、クライアントディレクトリ (例: /etc/clickhouse-client) 内の config.xml でCAルート証明書を設定し、既定の場所にある既定のルートCA証明書を読み込まないようにします。以下は設定例です。

<openSSL>
    <client>
        <loadDefaultCAFile>false</loadDefaultCAFile>
        <caConfig>/etc/clickhouse-server/certs/marsnet_ca.crt</caConfig>
        <cacheSessions>true</cacheSessions>
        <disableProtocols>sslv2,sslv3</disableProtocols>
        <preferServerCiphers>true</preferServerCiphers>
        <invalidCertificateHandler>
            <name>RejectCertificateHandler</name>
        </invalidCertificateHandler>
    </client>
</openSSL>

参考資料

https://clickhouse.com/docs/interfaces/cli/#configuration_files を参照してください

​ClickHouse におけるコード 210 の SSL 証明書検証エラーの解決

​エラーの原因

​解決策

​参考資料

ClickHouse におけるコード 210 の SSL 証明書検証エラーの解決

エラーの原因

解決策

参考資料