Mercurial > hg > nginx-site
comparison xml/ru/docs/http/ngx_http_ssl_module.xml @ 713:1de09d81acd1
Translated OCSP docs into Russian.
author | Vladimir Homutov <vl@nginx.com> |
---|---|
date | Tue, 09 Oct 2012 12:30:15 +0000 |
parents | 764fbac1b8b4 |
children | 3f25469cbc49 |
comparison
equal
deleted
inserted
replaced
712:2c9e8facc761 | 713:1de09d81acd1 |
---|---|
8 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd"> | 8 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd"> |
9 | 9 |
10 <module name="Модуль ngx_http_ssl_module" | 10 <module name="Модуль ngx_http_ssl_module" |
11 link="/ru/docs/http/ngx_http_ssl_module.html" | 11 link="/ru/docs/http/ngx_http_ssl_module.html" |
12 lang="ru" | 12 lang="ru" |
13 rev="1"> | 13 rev="3"> |
14 | 14 |
15 <section id="summary"> | 15 <section id="summary"> |
16 | 16 |
17 <para> | 17 <para> |
18 Модуль <literal>ngx_http_ssl_module</literal> обеспечивает работу | 18 Модуль <literal>ngx_http_ssl_module</literal> обеспечивает работу |
110 | 110 |
111 <para> | 111 <para> |
112 Указывает файл с сертификатом в формате PEM | 112 Указывает файл с сертификатом в формате PEM |
113 для данного виртуального сервера. | 113 для данного виртуального сервера. |
114 Если вместе с основным сертификатом нужно указать промежуточные, | 114 Если вместе с основным сертификатом нужно указать промежуточные, |
115 то они должны находиться в этом же файле в следующем порядке — сначала | 115 то они должны находиться в этом же файле в следующем порядке: сначала |
116 основной сертификат, а затем промежуточные. | 116 основной сертификат, а затем промежуточные. |
117 В этом же файле может находиться секретный ключ в формате PEM. | 117 В этом же файле может находиться секретный ключ в формате PEM. |
118 </para> | 118 </para> |
119 | 119 |
120 <para> | 120 <para> |
193 <default/> | 193 <default/> |
194 <context>http</context> | 194 <context>http</context> |
195 <context>server</context> | 195 <context>server</context> |
196 | 196 |
197 <para> | 197 <para> |
198 Указывает файл с сертификатами CA в формате PEM, используемыми для | 198 Указывает файл с доверенными сертификатами CA в формате |
199 для проверки клиентских сертификатов. | 199 PEM, которые используются для проверки клиентских сертификатов и |
200 ответов OCSP, если включён <link id="ssl_stapling"/>. | |
201 </para> | |
202 | |
203 <para> | |
204 Список сертификатов будет отправляться клиентам. | |
205 Если это нежелательно, можно воспользоваться директивой | |
206 <link id="ssl_trusted_certificate"/>. | |
200 </para> | 207 </para> |
201 | 208 |
202 </directive> | 209 </directive> |
203 | 210 |
204 | 211 |
345 </para> | 352 </para> |
346 | 353 |
347 </directive> | 354 </directive> |
348 | 355 |
349 | 356 |
357 <directive name="ssl_stapling"> | |
358 <syntax><literal>on</literal> | <literal>off</literal></syntax> | |
359 <default>off</default> | |
360 <context>http</context> | |
361 <context>server</context> | |
362 <appeared-in>1.3.7</appeared-in> | |
363 | |
364 <para> | |
365 Разрешает или запрещает | |
366 <link url="http://tools.ietf.org/html/rfc4366#section-3.6">прикрепление | |
367 OCSP-ответов</link> сервером. | |
368 Пример: | |
369 <example> | |
370 ssl_stapling on; | |
371 resolver 192.0.2.1; | |
372 </example> | |
373 </para> | |
374 | |
375 <para> | |
376 Для работы OCSP stapling’а должен быть известен сертификат издателя | |
377 сертификата сервера. | |
378 Если в заданном директивой <link id="ssl_certificate"/> | |
379 файле не содержится промежуточных сертификатов, | |
380 то сертификат издателя сертификата сервера следует поместить в файл, | |
381 заданный директивой <link id="ssl_trusted_certificate"/>. | |
382 </para> | |
383 | |
384 <para> | |
385 Для преобразования имени хоста OCSP responder’а в адрес необходимо | |
386 дополнительно задать директиву | |
387 <link doc="ngx_http_core_module.xml" id="resolver"/>. | |
388 </para> | |
389 | |
390 </directive> | |
391 | |
392 | |
393 <directive name="ssl_stapling_file"> | |
394 <syntax><value>файл</value></syntax> | |
395 <default/> | |
396 <context>http</context> | |
397 <context>server</context> | |
398 <appeared-in>1.3.7</appeared-in> | |
399 | |
400 <para> | |
401 Если задано, то вместо опроса OCSP responder’а, | |
402 указанного в сертификате сервера, | |
403 ответ берётся из указанного файла. | |
404 </para> | |
405 | |
406 <para> | |
407 Ответ должен быть в формате DER и может быть сгенерирован командой | |
408 “<literal>openssl ocsp</literal>”. | |
409 </para> | |
410 | |
411 </directive> | |
412 | |
413 | |
414 <directive name="ssl_stapling_responder"> | |
415 <syntax><value>url</value></syntax> | |
416 <default/> | |
417 <context>http</context> | |
418 <context>server</context> | |
419 <appeared-in>1.3.7</appeared-in> | |
420 | |
421 <para> | |
422 Переопределяет URL OCSP responder’а, указанный в расширении сертификата | |
423 “<link url="http://tools.ietf.org/html/rfc5280#section-4.2.2.1">Authority | |
424 Information Access</link>”. | |
425 </para> | |
426 | |
427 <para> | |
428 Поддерживаются только “<literal>http://</literal>” OCSP responder’ы: | |
429 <example> | |
430 ssl_stapling_responder http://ocsp.example.com/; | |
431 </example> | |
432 </para> | |
433 | |
434 </directive> | |
435 | |
436 | |
437 <directive name="ssl_stapling_verify"> | |
438 <syntax><literal>on</literal> | <literal>off</literal></syntax> | |
439 <default>off</default> | |
440 <context>http</context> | |
441 <context>server</context> | |
442 <appeared-in>1.3.7</appeared-in> | |
443 | |
444 <para> | |
445 Разрешает или запрещает проверку сервером ответов OCSP. | |
446 </para> | |
447 | |
448 <para> | |
449 Для работоспособности проверки сертификат издателя сертификата сервера, | |
450 корневой сертификат и все промежуточные сертификаты должны быть указаны | |
451 как доверенные с помощью директивы | |
452 <link id="ssl_trusted_certificate"/>. | |
453 </para> | |
454 | |
455 </directive> | |
456 | |
457 | |
458 <directive name="ssl_trusted_certificate"> | |
459 <syntax><value>файл</value></syntax> | |
460 <default/> | |
461 <context>http</context> | |
462 <context>server</context> | |
463 <appeared-in>1.3.7</appeared-in> | |
464 | |
465 <para> | |
466 Задаёт файл с доверенными сертификатами CA в формате PEM, | |
467 которые используются для проверки клиентских сертификатов и ответов OCSP, | |
468 если включён <link id="ssl_stapling"/>. | |
469 </para> | |
470 | |
471 <para> | |
472 В отличие от <link id="ssl_client_certificate"/>, список этих сертификатов | |
473 не будет отправляться клиентам. | |
474 </para> | |
475 | |
476 </directive> | |
477 | |
478 | |
350 <directive name="ssl_verify_client"> | 479 <directive name="ssl_verify_client"> |
351 <syntax> | 480 <syntax> |
352 <literal>on</literal> | <literal>off</literal> | | 481 <literal>on</literal> | <literal>off</literal> | |
353 <literal>optional</literal></syntax> | 482 <literal>optional</literal></syntax> |
354 <default>off</default> | 483 <default>off</default> |