с обоих сторон
<openSSL>
<server>
<certificateFile>серт</certificateFile>
<privateKeyFile>ключ</privateKeyFile>
<caConfig>ца</caConfig>
<verificationMode>strict</verificationMode>
<loadDefaultCAFile>true</loadDefaultCAFile>
<cacheSessions>true</cacheSessions>
<disableProtocols>sslv2,sslv3</disableProtocols>
<preferServerCiphers>true</preferServerCiphers>
</server>
<client> то же самое что и в server </client>
</openSSL>
и в конфиге словаря
<source>
<clickhouse>
... теги host,port,user,password,db,table...
<secure>1</secure>
</clickhouse>
</source>
и я получаю в system.dictionaries в поле last_exception такую красоту:
last_exception: Code: 279. DB::NetException: All connection tries failed. Log:
Code: 210. DB::NetException: SSL Exception: error:10000415:SSL routines:OPENSSL_internal:SSLV3_ALERT_CERTIFICATE_EXPIRED, while reading from socket (хост:порт). (NETWORK_ERROR) (version 22.3.3.44 (official build))
Code: 210. DB::NetException: SSL Exception: error:10000415:SSL routines:OPENSSL_internal:SSLV3_ALERT_CERTIFICATE_EXPIRED, while reading from socket (хост:порт). (NETWORK_ERROR) (version 22.3.3.44 (official build))
Code: 210. DB::NetException: SSL Exception: error:10000415:SSL routines:OPENSSL_internal:SSLV3_ALERT_CERTIFICATE_EXPIRED, while reading from socket (хост:порт). (NETWORK_ERROR) (version 22.3.3.44 (official build))
: While executing Remote. (ALL_CONNECTION_TRIES_FAILED) (version 22.3.3.44 (official build))
я попробовал дать HUP кх-серверу, не помогло. дал рестарт заработало
должно работать https://github.com/ClickHouse/ClickHouse/pull/31257 видимо для словарей не доделали, я бы issue завел
"Dynamic reload of server TLS certificates on config reload" ... а config reload в КХ делается как везде, HUP сигналом?
КХ следит за xml/yaml файлами и каталогами своих конфигов через inotify, и моментально перегружает когда файлы меняются HUP он НЕ слушает. есть system reload config -- на случай debug или если inotify не работает
Обсуждают сегодня