Mercurial > hg > nginx-site
changeset 1726:a0bc284941f6
Documented multiple certificates support.
author | Maxim Dounin <mdounin@mdounin.ru> |
---|---|
date | Tue, 07 Jun 2016 19:00:50 +0300 |
parents | 67b5aac350e4 |
children | 1a16dce51bce |
files | xml/en/docs/http/ngx_http_ssl_module.xml xml/en/docs/mail/ngx_mail_ssl_module.xml xml/en/docs/stream/ngx_stream_ssl_module.xml xml/ru/docs/http/ngx_http_ssl_module.xml xml/ru/docs/mail/ngx_mail_ssl_module.xml xml/ru/docs/stream/ngx_stream_ssl_module.xml |
diffstat | 6 files changed, 155 insertions(+), 6 deletions(-) [+] |
line wrap: on
line diff
--- a/xml/en/docs/http/ngx_http_ssl_module.xml +++ b/xml/en/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ <module name="Module ngx_http_ssl_module" link="/en/docs/http/ngx_http_ssl_module.html" lang="en" - rev="22"> + rev="23"> <section id="summary"> @@ -146,6 +146,32 @@ A secret key in the PEM format may be pl </para> <para> +Since version 1.11.0, +this directive can be specified multiple times +to load certificates of different types, for example, RSA and ECDSA: +<example> +server { + listen 443 ssl; + server_name example.com; + + ssl_certificate example.com.rsa.crt; + ssl_certificate_key example.com.rsa.key; + + ssl_certificate example.com.ecdsa.crt; + ssl_certificate_key example.com.ecdsa.key; + + ... +} +</example> +<note> +Only OpenSSL 1.0.2 or higher supports separate +<link doc="configuring_https_servers.xml" id="chains">certificate chains</link> +for different certificates. +With older versions, only one certificate chain can be used. +</note> +</para> + +<para> It should be kept in mind that due to the HTTPS protocol limitations virtual servers should listen on different IP addresses: <example>
--- a/xml/en/docs/mail/ngx_mail_ssl_module.xml +++ b/xml/en/docs/mail/ngx_mail_ssl_module.xml @@ -10,7 +10,7 @@ <module name="Module ngx_mail_ssl_module" link="/en/docs/mail/ngx_mail_ssl_module.html" lang="en" - rev="10"> + rev="11"> <section id="summary"> @@ -111,6 +111,30 @@ order: the primary certificate comes fir A secret key in the PEM format may be placed in the same file. </para> +<para> +Since version 1.11.0, +this directive can be specified multiple times +to load certificates of different types, for example, RSA and ECDSA: +<example> +server { + listen 993 ssl; + + ssl_certificate example.com.rsa.crt; + ssl_certificate_key example.com.rsa.key; + + ssl_certificate example.com.ecdsa.crt; + ssl_certificate_key example.com.ecdsa.key; + + ... +} +</example> +<note> +Only OpenSSL 1.0.2 or higher supports separate certificate chains +for different certificates. +With older versions, only one certificate chain can be used. +</note> +</para> + </directive>
--- a/xml/en/docs/stream/ngx_stream_ssl_module.xml +++ b/xml/en/docs/stream/ngx_stream_ssl_module.xml @@ -9,7 +9,7 @@ <module name="Module ngx_stream_ssl_module" link="/en/docs/stream/ngx_stream_ssl_module.html" lang="en" - rev="7"> + rev="8"> <section id="summary"> @@ -91,6 +91,30 @@ order: the primary certificate comes fir A secret key in the PEM format may be placed in the same file. </para> +<para> +Since version 1.11.0, +this directive can be specified multiple times +to load certificates of different types, for example, RSA and ECDSA: +<example> +server { + listen 12345 ssl; + + ssl_certificate example.com.rsa.crt; + ssl_certificate_key example.com.rsa.key; + + ssl_certificate example.com.ecdsa.crt; + ssl_certificate_key example.com.ecdsa.key; + + ... +} +</example> +<note> +Only OpenSSL 1.0.2 or higher supports separate certificate chains +for different certificates. +With older versions, only one certificate chain can be used. +</note> +</para> + </directive>
--- a/xml/ru/docs/http/ngx_http_ssl_module.xml +++ b/xml/ru/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ <module name="Модуль ngx_http_ssl_module" link="/ru/docs/http/ngx_http_ssl_module.html" lang="ru" - rev="22"> + rev="23"> <section id="summary"> @@ -147,6 +147,33 @@ ssl_buffer_size 4k; </para> <para> +Начиная с версии 1.11.0 +эта директива может быть указана несколько раз +для загрузки сертификатов разных типов, например RSA и ECDSA: +<example> +server { + listen 443 ssl; + server_name example.com; + + ssl_certificate example.com.rsa.crt; + ssl_certificate_key example.com.rsa.key; + + ssl_certificate example.com.ecdsa.crt; + ssl_certificate_key example.com.ecdsa.key; + + ... +} +</example> +<note> +Возможность задавать отдельные +<link doc="configuring_https_servers.xml" id="chains">цепочки +сертификатов</link> +для разных сертификатов есть только в OpenSSL 1.0.2 и выше. +Для более старых версий следует указывать только одну цепочку сертификатов. +</note> +</para> + +<para> Нужно иметь в виду, что из-за ограничения протокола HTTPS виртуальные серверы должны слушать на разных IP-адресах: <example>
--- a/xml/ru/docs/mail/ngx_mail_ssl_module.xml +++ b/xml/ru/docs/mail/ngx_mail_ssl_module.xml @@ -10,7 +10,7 @@ <module name="Модуль ngx_mail_ssl_module" link="/ru/docs/mail/ngx_mail_ssl_module.html" lang="ru" - rev="10"> + rev="11"> <section id="summary"> @@ -111,6 +111,30 @@ mail { В этом же файле может находиться секретный ключ в формате PEM. </para> +<para> +Начиная с версии 1.11.0 +эта директива может быть указана несколько раз +для загрузки сертификатов разных типов, например RSA и ECDSA: +<example> +server { + listen 993 ssl; + + ssl_certificate example.com.rsa.crt; + ssl_certificate_key example.com.rsa.key; + + ssl_certificate example.com.ecdsa.crt; + ssl_certificate_key example.com.ecdsa.key; + + ... +} +</example> +<note> +Возможность задавать отдельные цепочки сертификатов для разных сертификатов +есть только в OpenSSL 1.0.2 и выше. +Для более старых версий следует указывать только одну цепочку сертификатов. +</note> +</para> + </directive>
--- a/xml/ru/docs/stream/ngx_stream_ssl_module.xml +++ b/xml/ru/docs/stream/ngx_stream_ssl_module.xml @@ -9,7 +9,7 @@ <module name="Модуль ngx_stream_ssl_module" link="/ru/docs/stream/ngx_stream_ssl_module.html" lang="ru" - rev="7"> + rev="8"> <section id="summary"> @@ -91,6 +91,30 @@ stream { В этом же файле может находиться секретный ключ в формате PEM. </para> +<para> +Начиная с версии 1.11.0 +эта директива может быть указана несколько раз +для загрузки сертификатов разных типов, например RSA и ECDSA: +<example> +server { + listen 12345 ssl; + + ssl_certificate example.com.rsa.crt; + ssl_certificate_key example.com.rsa.key; + + ssl_certificate example.com.ecdsa.crt; + ssl_certificate_key example.com.ecdsa.key; + + ... +} +</example> +<note> +Возможность задавать отдельные цепочки сертификатов для разных сертификатов +есть только в OpenSSL 1.0.2 и выше. +Для более старых версий следует указывать только одну цепочку сертификатов. +</note> +</para> + </directive>