Mercurial > hg > nginx-site
comparison xml/tr/docs/http/configuring_https_servers.xml @ 121:49443032011c
Unified <section> syntax for "article" and "module" documents.
author | Ruslan Ermilov <ru@nginx.com> |
---|---|
date | Thu, 20 Oct 2011 20:27:51 +0000 |
parents | 9d544687d02c |
children | 7db449e89e92 |
comparison
equal
deleted
inserted
replaced
120:da8bd4d2290f | 121:49443032011c |
---|---|
39 </para> | 39 </para> |
40 | 40 |
41 </section> | 41 </section> |
42 | 42 |
43 | 43 |
44 <section name="optimization" title="HTTPS sunucu optimizasyonu"> | 44 <section id="optimization" name="HTTPS sunucu optimizasyonu"> |
45 | 45 |
46 <para> | 46 <para> |
47 SSL işlemleri ekstra işlemci (CPU) kaynakları tüketir. Çok-işlemcili sistemlerde birçok işçi işlemler yürütmelisiniz: Mevcut işlemci çekirdek sayısından az olmamalı. En yoğun işlemci-yoğun işlem SSL el sıkışmalarıdır (ÇN: SSL Handshake, kısaca sunucuda bulunan sertifikanın istemci bilgisayar tarafından onaylanması ve tekrar sunucuya bildirilmesi sürecidir). Her bir istemci için mevcut bu işlemlerin sayısını azaltmanın iki yolu vardır: İlki, keep-alive bağlantıları olanaklı kılarak bir çok talebi sadece bir bağlantı ile göndermek ve ikincisi ise SSL oturum parametrelerini tekrar kullanarak paralel ve izleyen (subsequent) bağlantılar için SSL el sıkışmalarından kaçınmaktır. | 47 SSL işlemleri ekstra işlemci (CPU) kaynakları tüketir. Çok-işlemcili sistemlerde birçok işçi işlemler yürütmelisiniz: Mevcut işlemci çekirdek sayısından az olmamalı. En yoğun işlemci-yoğun işlem SSL el sıkışmalarıdır (ÇN: SSL Handshake, kısaca sunucuda bulunan sertifikanın istemci bilgisayar tarafından onaylanması ve tekrar sunucuya bildirilmesi sürecidir). Her bir istemci için mevcut bu işlemlerin sayısını azaltmanın iki yolu vardır: İlki, keep-alive bağlantıları olanaklı kılarak bir çok talebi sadece bir bağlantı ile göndermek ve ikincisi ise SSL oturum parametrelerini tekrar kullanarak paralel ve izleyen (subsequent) bağlantılar için SSL el sıkışmalarından kaçınmaktır. |
48 | 48 |
49 Oturumlar, bir <dirname>ssl_session_cache</dirname> yönergesi tarafından yapılandırılan ve işçiler arasında paylaştırılmış bir SSL oturum önbelleğinde yer alır. Bir megabyte önbellek yaklaşık 4000 oturum içerir. Varsayılan önbellek zaman aşımı 5 dakikadır. <dirname>ssl_session_timeout</dirname> yönergesi ile bu süre arttırılabilir. 10M paylaşımlı oturum önbelleğine sahip bir quad core sistem için örnek yapılandırma: | 49 Oturumlar, bir <dirname>ssl_session_cache</dirname> yönergesi tarafından yapılandırılan ve işçiler arasında paylaştırılmış bir SSL oturum önbelleğinde yer alır. Bir megabyte önbellek yaklaşık 4000 oturum içerir. Varsayılan önbellek zaman aşımı 5 dakikadır. <dirname>ssl_session_timeout</dirname> yönergesi ile bu süre arttırılabilir. 10M paylaşımlı oturum önbelleğine sahip bir quad core sistem için örnek yapılandırma: |
70 </para> | 70 </para> |
71 | 71 |
72 </section> | 72 </section> |
73 | 73 |
74 | 74 |
75 <section name="chains" title="SSL sertifika zincirleri"> | 75 <section id="chains" name="SSL sertifika zincirleri"> |
76 | 76 |
77 <para> | 77 <para> |
78 Bazı tarayıcılar popüler bir sertifika otoritesi tarafından imzalanmış sertifikaları sorunsuz kabul ederken, diğerleri sorun çıkarabilir. Bunun nedeni sertifika otoritesinin, sunucu sertifikasını, güvenilir sertifika veri tabanında yer almayan aracı bir sertifikayı kullanarak imzalamış olmasıdır. Bu durumda otorite, imzalanmış sertifikaya art arda bağlanması gereken bir dizi sertifika zinciri sunar. Bir araya geldikleri dosyada ilk önce sunucu sertifikası daha sonra zincirlenmiş sertifikalar yer almalıdır: | 78 Bazı tarayıcılar popüler bir sertifika otoritesi tarafından imzalanmış sertifikaları sorunsuz kabul ederken, diğerleri sorun çıkarabilir. Bunun nedeni sertifika otoritesinin, sunucu sertifikasını, güvenilir sertifika veri tabanında yer almayan aracı bir sertifikayı kullanarak imzalamış olmasıdır. Bu durumda otorite, imzalanmış sertifikaya art arda bağlanması gereken bir dizi sertifika zinciri sunar. Bir araya geldikleri dosyada ilk önce sunucu sertifikası daha sonra zincirlenmiş sertifikalar yer almalıdır: |
79 | 79 |
80 <programlisting> | 80 <programlisting> |
142 </para> | 142 </para> |
143 | 143 |
144 </section> | 144 </section> |
145 | 145 |
146 | 146 |
147 <section name="single_http_https_server" title="Tekil HTTP/HTTPS sunucusu"> | 147 <section id="single_http_https_server" name="Tekil HTTP/HTTPS sunucusu"> |
148 | 148 |
149 <para> | 149 <para> |
150 En baştan HTTP ve HTTPS protokollerini ayrı yapılandırmak en iyisidir. Mevcut durumda fonksiyonellikleri aynı gözükmekle birlikte, bu gelecekte önemli bir şekilde değişebilir ve birleştirilmiş bir sunucu problemli olabilir. Ancak, eğer HTTP ve HTTPS sunucuları eşit ise ve geleceği düşünmek istemiyorsanız, <dirname>ssl on</dirname> yönergesini silerek ve *:443 portu için <dirname>ssl</dirname> parametresi ekleyerek, HTTP ve HTTPS taleplerini tutan yalnızca bir sunucu yapılandırabilirsiniz: | 150 En baştan HTTP ve HTTPS protokollerini ayrı yapılandırmak en iyisidir. Mevcut durumda fonksiyonellikleri aynı gözükmekle birlikte, bu gelecekte önemli bir şekilde değişebilir ve birleştirilmiş bir sunucu problemli olabilir. Ancak, eğer HTTP ve HTTPS sunucuları eşit ise ve geleceği düşünmek istemiyorsanız, <dirname>ssl on</dirname> yönergesini silerek ve *:443 portu için <dirname>ssl</dirname> parametresi ekleyerek, HTTP ve HTTPS taleplerini tutan yalnızca bir sunucu yapılandırabilirsiniz: |
151 | 151 |
152 <programlisting> | 152 <programlisting> |
169 </para> | 169 </para> |
170 | 170 |
171 </section> | 171 </section> |
172 | 172 |
173 | 173 |
174 <section name="name_based_https_servers" title="Ad tabanlı HTTPS sunucuları"> | 174 <section id="name_based_https_servers" name="Ad tabanlı HTTPS sunucuları"> |
175 | 175 |
176 <para> | 176 <para> |
177 Bir IP adresini dinleyen iki veya daha fazla HTTPS sunucusunu yapılandırdığınız zaman genel bir problem ortaya çıkar: | 177 Bir IP adresini dinleyen iki veya daha fazla HTTPS sunucusunu yapılandırdığınız zaman genel bir problem ortaya çıkar: |
178 | 178 |
179 <programlisting> | 179 <programlisting> |
220 </para> | 220 </para> |
221 | 221 |
222 </section> | 222 </section> |
223 | 223 |
224 | 224 |
225 <section name="certificate_with_several_names" | 225 <section id="certificate_with_several_names" |
226 title="Birçok ad içeren SSL sertifikası"> | 226 name="Birçok ad içeren SSL sertifikası"> |
227 | 227 |
228 <para> | 228 <para> |
229 Bir tekil IP’yi birçok HTTPS sunucu arasında paylaştırmanın başka yolları da vardır, ancak bunların hepsi dezavantajlara sahiptir. Bunlardan biri, birçok ad içeren bir sertifikanın, SubjectAltName sertifika alanında kullanılmasıdır. Örneğin: <url>www.nginx.com</url> ve <url>www.nginx.org</url>. Ancak SubjectAltName alan uzunluğu sınırlandırılmıştır. | 229 Bir tekil IP’yi birçok HTTPS sunucu arasında paylaştırmanın başka yolları da vardır, ancak bunların hepsi dezavantajlara sahiptir. Bunlardan biri, birçok ad içeren bir sertifikanın, SubjectAltName sertifika alanında kullanılmasıdır. Örneğin: <url>www.nginx.com</url> ve <url>www.nginx.org</url>. Ancak SubjectAltName alan uzunluğu sınırlandırılmıştır. |
230 </para> | 230 </para> |
231 | 231 |
257 </para> | 257 </para> |
258 | 258 |
259 </section> | 259 </section> |
260 | 260 |
261 | 261 |
262 <section name="sni" title="Server Name Indication"> | 262 <section id="sni" name="Server Name Indication"> |
263 | 263 |
264 <para> | 264 <para> |
265 Bir IP adresi üzerinde birçok HTTPS sunucusu yürütebilmenin en genel yollarından biri, bir SSL el sıkışması (handshake) sırasında, tarayıcının talep edilmiş bir sunucu adını iletmesine izin veren ve böylece sunucunun varsayılan bağlantı için hangi sertifikayı kullanacağını bilmesini sağlayan <a href="http://en.wikipedia.org/wiki/Server_Name_Indication">TLSv1.1 Server Name Indication eklentisidir</a> (SNI, RFC3546). Ancak SNI, kısıtlı bir tarayıcı desteğine sahiptir. Mevcut destekleyen tarayıcılar ve versiyonları: | 265 Bir IP adresi üzerinde birçok HTTPS sunucusu yürütebilmenin en genel yollarından biri, bir SSL el sıkışması (handshake) sırasında, tarayıcının talep edilmiş bir sunucu adını iletmesine izin veren ve böylece sunucunun varsayılan bağlantı için hangi sertifikayı kullanacağını bilmesini sağlayan <a href="http://en.wikipedia.org/wiki/Server_Name_Indication">TLSv1.1 Server Name Indication eklentisidir</a> (SNI, RFC3546). Ancak SNI, kısıtlı bir tarayıcı desteğine sahiptir. Mevcut destekleyen tarayıcılar ve versiyonları: |
266 </para> | 266 </para> |
267 | 267 |
309 </para> | 309 </para> |
310 | 310 |
311 </section> | 311 </section> |
312 | 312 |
313 | 313 |
314 <section name="compatibility" title="Uygunluk"> | 314 <section id="compatibility" name="Uygunluk"> |
315 | 315 |
316 <para> | 316 <para> |
317 <list> | 317 <list> |
318 | 318 |
319 <item> | 319 <item> |