Mercurial > hg > nginx-site
changeset 713:1de09d81acd1
Translated OCSP docs into Russian.
author | Vladimir Homutov <vl@nginx.com> |
---|---|
date | Tue, 09 Oct 2012 12:30:15 +0000 |
parents | 2c9e8facc761 |
children | ec33576efaa5 |
files | xml/ru/docs/http/ngx_http_ssl_module.xml |
diffstat | 1 files changed, 133 insertions(+), 4 deletions(-) [+] |
line wrap: on
line diff
--- a/xml/ru/docs/http/ngx_http_ssl_module.xml +++ b/xml/ru/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ <module name="Модуль ngx_http_ssl_module" link="/ru/docs/http/ngx_http_ssl_module.html" lang="ru" - rev="1"> + rev="3"> <section id="summary"> @@ -112,7 +112,7 @@ http { Указывает файл с сертификатом в формате PEM для данного виртуального сервера. Если вместе с основным сертификатом нужно указать промежуточные, -то они должны находиться в этом же файле в следующем порядке — сначала +то они должны находиться в этом же файле в следующем порядке: сначала основной сертификат, а затем промежуточные. В этом же файле может находиться секретный ключ в формате PEM. </para> @@ -195,8 +195,15 @@ ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA <context>server</context> <para> -Указывает файл с сертификатами CA в формате PEM, используемыми для -для проверки клиентских сертификатов. +Указывает файл с доверенными сертификатами CA в формате +PEM, которые используются для проверки клиентских сертификатов и +ответов OCSP, если включён <link id="ssl_stapling"/>. +</para> + +<para> +Список сертификатов будет отправляться клиентам. +Если это нежелательно, можно воспользоваться директивой +<link id="ssl_trusted_certificate"/>. </para> </directive> @@ -347,6 +354,128 @@ ssl_session_cache builtin:1000 shared:SS </directive> +<directive name="ssl_stapling"> +<syntax><literal>on</literal> | <literal>off</literal></syntax> +<default>off</default> +<context>http</context> +<context>server</context> +<appeared-in>1.3.7</appeared-in> + +<para> +Разрешает или запрещает +<link url="http://tools.ietf.org/html/rfc4366#section-3.6">прикрепление +OCSP-ответов</link> сервером. +Пример: +<example> +ssl_stapling on; +resolver 192.0.2.1; +</example> +</para> + +<para> +Для работы OCSP stapling’а должен быть известен сертификат издателя +сертификата сервера. +Если в заданном директивой <link id="ssl_certificate"/> +файле не содержится промежуточных сертификатов, +то сертификат издателя сертификата сервера следует поместить в файл, +заданный директивой <link id="ssl_trusted_certificate"/>. +</para> + +<para> +Для преобразования имени хоста OCSP responder’а в адрес необходимо +дополнительно задать директиву +<link doc="ngx_http_core_module.xml" id="resolver"/>. +</para> + +</directive> + + +<directive name="ssl_stapling_file"> +<syntax><value>файл</value></syntax> +<default/> +<context>http</context> +<context>server</context> +<appeared-in>1.3.7</appeared-in> + +<para> +Если задано, то вместо опроса OCSP responder’а, +указанного в сертификате сервера, +ответ берётся из указанного файла. +</para> + +<para> +Ответ должен быть в формате DER и может быть сгенерирован командой +“<literal>openssl ocsp</literal>”. +</para> + +</directive> + + +<directive name="ssl_stapling_responder"> +<syntax><value>url</value></syntax> +<default/> +<context>http</context> +<context>server</context> +<appeared-in>1.3.7</appeared-in> + +<para> +Переопределяет URL OCSP responder’а, указанный в расширении сертификата +“<link url="http://tools.ietf.org/html/rfc5280#section-4.2.2.1">Authority +Information Access</link>”. +</para> + +<para> +Поддерживаются только “<literal>http://</literal>” OCSP responder’ы: +<example> +ssl_stapling_responder http://ocsp.example.com/; +</example> +</para> + +</directive> + + +<directive name="ssl_stapling_verify"> +<syntax><literal>on</literal> | <literal>off</literal></syntax> +<default>off</default> +<context>http</context> +<context>server</context> +<appeared-in>1.3.7</appeared-in> + +<para> +Разрешает или запрещает проверку сервером ответов OCSP. +</para> + +<para> +Для работоспособности проверки сертификат издателя сертификата сервера, +корневой сертификат и все промежуточные сертификаты должны быть указаны +как доверенные с помощью директивы +<link id="ssl_trusted_certificate"/>. +</para> + +</directive> + + +<directive name="ssl_trusted_certificate"> +<syntax><value>файл</value></syntax> +<default/> +<context>http</context> +<context>server</context> +<appeared-in>1.3.7</appeared-in> + +<para> +Задаёт файл с доверенными сертификатами CA в формате PEM, +которые используются для проверки клиентских сертификатов и ответов OCSP, +если включён <link id="ssl_stapling"/>. +</para> + +<para> +В отличие от <link id="ssl_client_certificate"/>, список этих сертификатов +не будет отправляться клиентам. +</para> + +</directive> + + <directive name="ssl_verify_client"> <syntax> <literal>on</literal> | <literal>off</literal> |