Mercurial > hg > nginx-site

comparison xml/ru/docs/http/ngx_http_ssl_module.xml @ 2548:ffc4083f5c7e

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
Documented ssl_ocsp, ssl_ocsp_cache, ssl_ocsp_responder directives.
author Yaroslav Zhuravlev <yar@nginx.com>
date Tue, 19 May 2020 12:43:22 +0100
parents c60a8a15010c
children d8bf37d20449
comparison
equal deleted inserted replaced
2547:baf8cbfa3df1 2548:ffc4083f5c7e
8 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd"> 8 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd">
9 9
10 <module name="Модуль ngx_http_ssl_module" 10 <module name="Модуль ngx_http_ssl_module"
11 link="/ru/docs/http/ngx_http_ssl_module.html" 11 link="/ru/docs/http/ngx_http_ssl_module.html"
12 lang="ru" 12 lang="ru"
13 rev="48"> 13 rev="49">
14 14
15 <section id="summary"> 15 <section id="summary">
16 16
17 <para> 17 <para>
18 Модуль <literal>ngx_http_ssl_module</literal> обеспечивает работу 18 Модуль <literal>ngx_http_ssl_module</literal> обеспечивает работу
401 </note> 401 </note>
402 </para> 402 </para>
403 403
404 </directive> 404 </directive>
405 405
406 <directive name="ssl_ocsp">
407 <syntax><literal>on</literal> |
408 <literal>off</literal> |
409 <literal>leaf</literal></syntax>
410 <default>off</default>
411 <context>http</context>
412 <context>server</context>
413 <appeared-in>1.19.0</appeared-in>
414
415 <para>
416 Включает проверку OCSP для цепочки клиентских сертификатов.
417 Параметр <literal>leaf</literal>
418 включает проверку только клиентского сертификата.
419 </para>
420
421 <para>
422 Для работы проверки OCSP
423 необходимо дополнительно установить значение директивы
424 <link id="ssl_verify_client"/> в
425 <literal>on</literal> или <literal>optional</literal>.
426 </para>
427
428 <para>
429 Для преобразования имени хоста OCSP responder’а в адрес необходимо
430 дополнительно задать директиву
431 <link doc="ngx_http_core_module.xml" id="resolver"/>.
432 </para>
433
434 <para>
435 Пример:
436 <example>
437 ssl_verify_client on;
438 ssl_ocsp on;
439 resolver 192.0.2.1;
440 </example>
441 </para>
442
443 </directive>
444
445
446 <directive name="ssl_ocsp_cache">
447 <syntax>
448 <literal>off</literal> |
449 [<literal>shared</literal>:<value>имя</value>:<value>размер</value>]</syntax>
450 <default>off</default>
451 <context>http</context>
452 <context>server</context>
453 <appeared-in>1.19.0</appeared-in>
454
455 <para>
456 Задаёт <literal>имя</literal> и <literal>размер</literal> кэша,
457 который хранит статус клиентских сертификатов для проверки OCSP-ответов.
458 Кэш разделяется между всеми рабочими процессами.
459 Кэш с одинаковым названием может использоваться в нескольких
460 виртуальных серверах.
461 </para>
462
463 <para>
464 Параметр <literal>off</literal> запрещает использование кэша.
465 </para>
466
467 </directive>
468
469
470 <directive name="ssl_ocsp_responder">
471 <syntax><value>url</value></syntax>
472 <default/>
473 <context>http</context>
474 <context>server</context>
475 <appeared-in>1.19.0</appeared-in>
476
477 <para>
478 Переопределяет URL OCSP responder’а, указанный в расширении сертификата
479 “<link url="https://tools.ietf.org/html/rfc5280#section-4.2.2.1">Authority
480 Information Access</link>”
481 для <link id="ssl_ocsp">проверки</link> клиентских сертификатов.
482 </para>
483
484 <para>
485 Поддерживаются только “<literal>http://</literal>” OCSP responder’ы:
486 <example>
487 ssl_ocsp_responder http://ocsp.example.com/;
488 </example>
489 </para>
490
491 </directive>
492
406 493
407 <directive name="ssl_password_file"> 494 <directive name="ssl_password_file">
408 <syntax><value>файл</value></syntax> 495 <syntax><value>файл</value></syntax>
409 <default/> 496 <default/>
410 <context>http</context> 497 <context>http</context>