Mercurial > hg > nginx-site
changeset 2548:ffc4083f5c7e
Documented ssl_ocsp, ssl_ocsp_cache, ssl_ocsp_responder directives.
author | Yaroslav Zhuravlev <yar@nginx.com> |
---|---|
date | Tue, 19 May 2020 12:43:22 +0100 |
parents | baf8cbfa3df1 |
children | c13a55aae487 |
files | xml/en/docs/http/ngx_http_ssl_module.xml xml/ru/docs/http/ngx_http_ssl_module.xml |
diffstat | 2 files changed, 175 insertions(+), 2 deletions(-) [+] |
line wrap: on
line diff
--- a/xml/en/docs/http/ngx_http_ssl_module.xml +++ b/xml/en/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ <module name="Module ngx_http_ssl_module" link="/en/docs/http/ngx_http_ssl_module.html" lang="en" - rev="48"> + rev="49"> <section id="summary"> @@ -401,6 +401,92 @@ the <literal>prime256v1</literal> curve </directive> +<directive name="ssl_ocsp"> +<syntax><literal>on</literal> | + <literal>off</literal> | + <literal>leaf</literal></syntax> +<default>off</default> +<context>http</context> +<context>server</context> +<appeared-in>1.19.0</appeared-in> + +<para> +Enables OCSP validation of the client certificate chain. +The <literal>leaf</literal> parameter +enables validation of the client certificate only. +</para> + +<para> +For the OCSP validation to work, +the <link id="ssl_verify_client"/> directive should be set to +<literal>on</literal> or <literal>optional</literal>. +</para> + +<para> +To resolve the OCSP responder hostname, +the <link doc="ngx_http_core_module.xml" id="resolver"/> directive +should also be specified. +</para> + +<para> +Example: +<example> +ssl_verify_client on; +ssl_ocsp on; +resolver 192.0.2.1; +</example> +</para> + +</directive> + + +<directive name="ssl_ocsp_cache"> +<syntax> + <literal>off</literal> | + [<literal>shared</literal>:<value>name</value>:<value>size</value>]</syntax> +<default>off</default> +<context>http</context> +<context>server</context> +<appeared-in>1.19.0</appeared-in> + +<para> +Sets <literal>name</literal> and <literal>size</literal> of the cache +that stores client certificates status for OCSP validation. +The cache is shared between all worker processes. +A cache with the same name can be used in several virtual servers. +</para> + +<para> +The <literal>off</literal> parameter prohibits the use of the cache. +</para> + +</directive> + + +<directive name="ssl_ocsp_responder"> +<syntax><value>url</value></syntax> +<default/> +<context>http</context> +<context>server</context> +<appeared-in>1.19.0</appeared-in> + +<para> +Overrides the URL of the OCSP responder specified in the +“<link url="https://tools.ietf.org/html/rfc5280#section-4.2.2.1">Authority +Information Access</link>” certificate extension +for <link id="ssl_ocsp">validation</link> of client certificates. +</para> + +<para> +Only “<literal>http://</literal>” OCSP responders are supported: +<example> +ssl_ocsp_responder http://ocsp.example.com/; +</example> +</para> + +</directive> + + <directive name="ssl_password_file"> <syntax><value>file</value></syntax> <default/>
--- a/xml/ru/docs/http/ngx_http_ssl_module.xml +++ b/xml/ru/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ <module name="Модуль ngx_http_ssl_module" link="/ru/docs/http/ngx_http_ssl_module.html" lang="ru" - rev="48"> + rev="49"> <section id="summary"> @@ -403,6 +403,93 @@ ssl_ecdh_curve prime256v1:secp384r1; </directive> +<directive name="ssl_ocsp"> +<syntax><literal>on</literal> | + <literal>off</literal> | + <literal>leaf</literal></syntax> +<default>off</default> +<context>http</context> +<context>server</context> +<appeared-in>1.19.0</appeared-in> + +<para> +Включает проверку OCSP для цепочки клиентских сертификатов. +Параметр <literal>leaf</literal> +включает проверку только клиентского сертификата. +</para> + +<para> +Для работы проверки OCSP +необходимо дополнительно установить значение директивы +<link id="ssl_verify_client"/> в +<literal>on</literal> или <literal>optional</literal>. +</para> + +<para> +Для преобразования имени хоста OCSP responder’а в адрес необходимо +дополнительно задать директиву +<link doc="ngx_http_core_module.xml" id="resolver"/>. +</para> + +<para> +Пример: +<example> +ssl_verify_client on; +ssl_ocsp on; +resolver 192.0.2.1; +</example> +</para> + +</directive> + + +<directive name="ssl_ocsp_cache"> +<syntax> + <literal>off</literal> | + [<literal>shared</literal>:<value>имя</value>:<value>размер</value>]</syntax> +<default>off</default> +<context>http</context> +<context>server</context> +<appeared-in>1.19.0</appeared-in> + +<para> +Задаёт <literal>имя</literal> и <literal>размер</literal> кэша, +который хранит статус клиентских сертификатов для проверки OCSP-ответов. +Кэш разделяется между всеми рабочими процессами. +Кэш с одинаковым названием может использоваться в нескольких +виртуальных серверах. +</para> + +<para> +Параметр <literal>off</literal> запрещает использование кэша. +</para> + +</directive> + + +<directive name="ssl_ocsp_responder"> +<syntax><value>url</value></syntax> +<default/> +<context>http</context> +<context>server</context> +<appeared-in>1.19.0</appeared-in> + +<para> +Переопределяет URL OCSP responder’а, указанный в расширении сертификата +“<link url="https://tools.ietf.org/html/rfc5280#section-4.2.2.1">Authority +Information Access</link>” +для <link id="ssl_ocsp">проверки</link> клиентских сертификатов. +</para> + +<para> +Поддерживаются только “<literal>http://</literal>” OCSP responder’ы: +<example> +ssl_ocsp_responder http://ocsp.example.com/; +</example> +</para> + +</directive> + <directive name="ssl_password_file"> <syntax><value>файл</value></syntax>