-file +файл stream server -Specifies a file with the certificate in the PEM format -for the given server. -If intermediate certificates should be specified in addition to a primary -certificate, they should be specified in the same file in the following -order: the primary certificate comes first, then the intermediate certificates. -A secret key in the PEM format may be placed in the same file. +Указывает файл с сертификатом в формате PEM +для данного сервера. +Если вместе с основным сертификатом нужно указать промежуточные, +то они должны находиться в этом же файле в следующем порядке — сначала +основной сертификат, а затем промежуточные. +В этом же файле может находиться секретный ключ в формате PEM. -file +файл stream server -Specifies a file with the secret key in the PEM format -for the given server. +Указывает файл с секретным ключом в формате PEM +для данного сервера. -The value -engine:name:id -can be specified instead of the file, -which loads a secret key with a specified id -from the OpenSSL engine name. +Вместо файла можно указать значение +engine:имя:id, +которое загружает ключ с указанным id +из OpenSSL engine с заданным именем. -ciphers +шифры HIGH:!aNULL:!MD5 stream server -Specifies the enabled ciphers. -The ciphers are specified in the format understood by the -OpenSSL library, for example: +Описывает разрешённые шифры. +Шифры задаются в формате, поддерживаемом библиотекой +OpenSSL, например: ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; -The full list can be viewed using the -“openssl ciphers” command. +Полный список можно посмотреть с помощью команды +“openssl ciphers”. -file +файл stream server -Specifies a file with DH parameters for EDH ciphers. +Указывает файл с параметрами для шифров с обменом EDH-ключами. -curve +кривая prime256v1 stream server -Specifies a curve for ECDHE ciphers. +Задаёт кривую для ECDHE-шифров. -time +время 60s stream server -Specifies a timeout for the SSL handshake to complete. +Задаёт таймаут для завершения операции SSL handshake. -file +файл stream server -Specifies a file with passphrases for -secret keys -where each passphrase is specified on a separate line. -Passphrases are tried in turn when loading the key. +Задаёт файл с паролями от +секретных ключей, +где каждый пароль указан на отдельной строке. +Пароли применяются по очереди в момент загрузки ключа. -Example: +Пример: stream { ssl_password_file /etc/keys/global.pass; @@ -157,7 +156,7 @@ stream { server { listen 127.0.0.1:12346; - # named pipe can also be used instead of a file + # вместо файла можно указать именованный канал ssl_password_file /etc/keys/fifo; ssl_certificate_key /etc/keys/second.key; } @@ -175,8 +174,8 @@ stream { server -Specifies that server ciphers should be preferred over client ciphers -when the SSLv3 and TLS protocols are used. +Указывает, чтобы при использовании протоколов SSLv3 и TLS +серверные шифры были более приоритетны, чем клиентские. @@ -194,9 +193,9 @@ when the SSLv3 and TLS protocols are use server -Enables the specified protocols. -The TLSv1.1 and TLSv1.2 parameters work -only when the OpenSSL library of version 1.0.1 or higher is used. +Разрешает указанные протоколы. +Параметры TLSv1.1 и TLSv1.2 работают +только при использовании библиотеки OpenSSL версии 1.0.1 и выше. @@ -206,81 +205,81 @@ only when the OpenSSL library of version off | none | - [builtin[:size]] - [shared:name:size] + [builtin[:размер]] + [shared:название:размер] none stream server -Sets the types and sizes of caches that store session parameters. -A cache can be of any of the following types: +Задаёт тип и размеры кэшей для хранения параметров сессий. +Тип кэша может быть следующим:

off

-the use of a session cache is strictly prohibited: -nginx explicitly tells a client that sessions may not be reused. +жёсткое запрещение использования кэша сессий: +nginx явно сообщает клиенту, что сессии не могут использоваться повторно.

none

-the use of a session cache is gently disallowed: -nginx tells a client that sessions may be reused, but does not -actually store session parameters in the cache. +мягкое запрещение использования кэша сессий: +nginx сообщает клиенту, что сессии могут использоваться повторно, но +на самом деле не хранит параметры сессии в кэше.

builtin

-a cache built in OpenSSL; used by one worker process only. -The cache size is specified in sessions. -If size is not given, it is equal to 20480 sessions. -Use of the built-in cache can cause memory fragmentation. +встроенный в OpenSSL кэш, используется в рамках только одного рабочего процесса. +Размер кэша задаётся в сессиях. +Если размер не задан, то он равен 20480 сессиям. +Использование встроенного кэша может вести к фрагментации памяти.

shared

-a cache shared between all worker processes. -The cache size is specified in bytes; one megabyte can store -about 4000 sessions. -Each shared cache should have an arbitrary name. -A cache with the same name can be used in several -servers. +кэш, разделяемый между всеми рабочими процессами. +Размер кэша задаётся в байтах, в 1 мегабайт может поместиться +около 4000 сессий. +У каждого разделяемого кэша должно быть произвольное название. +Кэш с одинаковым названием может использоваться в нескольких +серверах.

-Both cache types can be used simultaneously, for example: +Можно использовать одновременно оба типа кэша, например: ssl_session_cache builtin:1000 shared:SSL:10m; -but using only shared cache without the built-in cache should -be more efficient. +однако использование только разделяемого кэша без встроенного должно +быть более эффективным. -file +файл stream server -Sets a file with the secret key used to encrypt -and decrypt TLS session tickets. -The directive is necessary if the same key has to be shared between -multiple servers. -By default, a randomly generated key is used. +Задаёт файл с секретным ключом, применяемым при шифровании и +расшифровании TLS session tickets. +Директива необходима, если один и тот же ключ нужно использовать +на нескольких серверах. +По умолчанию используется случайно сгенерированный ключ. -If several keys are specified, only the first key is -used to encrypt TLS session tickets. -This allows configuring key rotation, for example: +Если указано несколько ключей, то только первый ключ +используется для шифрования TLS session tickets. +Это позволяет настроить ротацию ключей, например: ssl_session_ticket_key current.key; ssl_session_ticket_key previous.key; @@ -288,8 +287,8 @@ ssl_session_ticket_key previous.key; -The file must contain 48 bytes of random data and can -be created using the following command: +Файл должен содержать 48 байт случайных данных и может быть +создан следующей командой: openssl rand 48 > ticket.key @@ -305,7 +304,7 @@ openssl rand 48 > ticket.key server -Enables or disables session resumption through +Разрешает или запрещает возобновление сессий при помощи TLS session tickets. @@ -313,14 +312,14 @@ Enables or disables session resumption t -time +время 5m stream server -Specifies a time during which a client may reuse the -session parameters stored in a cache. +Задаёт время, в течение которого клиент может повторно +использовать параметры сессии, хранящейся в кэше.