Mercurial > hg > nginx-site
comparison xml/ja/docs/http/configuring_https_servers.xml @ 271:4c6d2c614d2c
Cleaned up XML tag mess:
- all of <parameter> and <code>, and some of <dirname>, <value>,
and <command> were replaced by <literal>;
- the rest of <dirname> were replaced by links;
- <argument> were replaced by <value>;
- <value> is now rendered in HTML in italic;
- <literal> and <path> can now contain <value>.
Cleaned up terminology mess:
- directives take "parameters".
| author | Ruslan Ermilov <ru@nginx.com> |
|---|---|
| date | Fri, 23 Dec 2011 17:29:59 +0000 |
| parents | 7db449e89e92 |
| children | a413dffb0557 |
comparison
equal
deleted
inserted
replaced
| 270:945d7299c26c | 271:4c6d2c614d2c |
|---|---|
| 33 | 33 |
| 34 この場合もファイルのアクセス権は制限するようにします。証明書と秘密鍵がひとつのファイルに保存されていても、証明書だけがクライアントに送られます。 | 34 この場合もファイルのアクセス権は制限するようにします。証明書と秘密鍵がひとつのファイルに保存されていても、証明書だけがクライアントに送られます。 |
| 35 </para> | 35 </para> |
| 36 | 36 |
| 37 <para> | 37 <para> |
| 38 SSL プロトコルの強力なバージョンと暗号に接続を制限するには、ディレクティブ <dirname>ssl_protocols</dirname> と <dirname>ssl_ciphers</dirname> を使用します。バージョン 0.8.20 以降、nginx は <dirname>ssl_protocols SSLv3 TLSv1</dirname> と <dirname>ssl_ciphers HIGH:!ADH:!MD5</dirname> をデフォルトとして使用しているので、これより古い nginx のバージョンでのみ設定してください。 | 38 SSL プロトコルの強力なバージョンと暗号に接続を制限するには、ディレクティブ <literal>ssl_protocols</literal> と <literal>ssl_ciphers</literal> を使用します。バージョン 0.8.20 以降、nginx は <literal>ssl_protocols SSLv3 TLSv1</literal> と <literal>ssl_ciphers HIGH:!ADH:!MD5</literal> をデフォルトとして使用しているので、これより古い nginx のバージョンでのみ設定してください。 |
| 39 </para> | 39 </para> |
| 40 | 40 |
| 41 </section> | 41 </section> |
| 42 | 42 |
| 43 | 43 |
| 44 <section id="optimization" name="HTTPS サーバの最適化"> | 44 <section id="optimization" name="HTTPS サーバの最適化"> |
| 45 | 45 |
| 46 <para> | 46 <para> |
| 47 SSL の工程は CPU リソースを余計に消費します。マルチプロセッサシステムでは(利用できる CPU コアの数よりも大きい数の)複数のワーカープロセスを走らせるといいでしょう。最も CPU に負荷がかかる工程は SSL ハンドシェイクです。クライアント毎のこの工程数を最小化するには2つの方法があります。最初の方法はキープアライブ接続を有効にして、ひとつの接続経由で複数のリクエストを送るようにする方法です。二つ目の方法は SSL セッションパラメータを再利用して、並行かつ順次接続のための SSL ハンドシェイクを避ける方法です。セッションはワーカー間で共有される SSL セッションキャッシュに保持され、<dirname>ssl_session_cache</dirname> ディレクティブで設定されています。1メガバイトのキャッシュには約4000のセッションが含まれます。キャッシュのデフォルトタイムアウトは5分です。この値は <dirname>ssl_session_timeout</dirname> ディレクティブを使用して増やすことができます。次の例は10Mの共有セッションキャッシュをもったクアッドコアシステムに最適化された設定例です: | 47 SSL の工程は CPU リソースを余計に消費します。マルチプロセッサシステムでは(利用できる CPU コアの数よりも大きい数の)複数のワーカープロセスを走らせるといいでしょう。最も CPU に負荷がかかる工程は SSL ハンドシェイクです。クライアント毎のこの工程数を最小化するには2つの方法があります。最初の方法はキープアライブ接続を有効にして、ひとつの接続経由で複数のリクエストを送るようにする方法です。二つ目の方法は SSL セッションパラメータを再利用して、並行かつ順次接続のための SSL ハンドシェイクを避ける方法です。セッションはワーカー間で共有される SSL セッションキャッシュに保持され、<literal>ssl_session_cache</literal> ディレクティブで設定されています。1メガバイトのキャッシュには約4000のセッションが含まれます。キャッシュのデフォルトタイムアウトは5分です。この値は <literal>ssl_session_timeout</literal> ディレクティブを使用して増やすことができます。次の例は10Mの共有セッションキャッシュをもったクアッドコアシステムに最適化された設定例です: |
| 48 | 48 |
| 49 | 49 |
| 50 <programlisting> | 50 <programlisting> |
| 51 <b>worker_processes 4</b>; | 51 <b>worker_processes 4</b>; |
| 52 | 52 |
| 78 | 78 |
| 79 <programlisting> | 79 <programlisting> |
| 80 $ cat www.nginx.com.crt bundle.crt > www.nginx.com.chained.crt | 80 $ cat www.nginx.com.crt bundle.crt > www.nginx.com.chained.crt |
| 81 </programlisting> | 81 </programlisting> |
| 82 | 82 |
| 83 この結合されたファイルを <dirname>ssl_certificate</dirname> ディレクティブで使われるようにします: | 83 この結合されたファイルを <literal>ssl_certificate</literal> ディレクティブで使われるようにします: |
| 84 | 84 |
| 85 <programlisting> | 85 <programlisting> |
| 86 server { | 86 server { |
| 87 listen 443; | 87 listen 443; |
| 88 server_name www.nginx.com; | 88 server_name www.nginx.com; |
| 103 | 103 |
| 104 これは、nginx がサーバ証明書ではなくバンドルされた最初の証明書で秘密鍵を使おうとするからです。 | 104 これは、nginx がサーバ証明書ではなくバンドルされた最初の証明書で秘密鍵を使おうとするからです。 |
| 105 </para> | 105 </para> |
| 106 | 106 |
| 107 <para> | 107 <para> |
| 108 ブラウザは通常、信頼されている認証局によって署名されている受信した中間証明書を保存します。したがって、よく使われているブラウザは要求された中間証明書をすでに保持しているかもしれませんし、連鎖バンドルなしで送られた証明書にエラーを出すかもしれません。サーバに完全な連鎖証明書を送信させるには <dirname>openssl</dirname> コマンドラインユーティリティを使うといいでしょう。例えば: | 108 ブラウザは通常、信頼されている認証局によって署名されている受信した中間証明書を保存します。したがって、よく使われているブラウザは要求された中間証明書をすでに保持しているかもしれませんし、連鎖バンドルなしで送られた証明書にエラーを出すかもしれません。サーバに完全な連鎖証明書を送信させるには <literal>openssl</literal> コマンドラインユーティリティを使うといいでしょう。例えば: |
| 109 | 109 |
| 110 <programlisting> | 110 <programlisting> |
| 111 $ openssl s_client -connect www.godaddy.com:443 | 111 $ openssl s_client -connect www.godaddy.com:443 |
| 112 ... | 112 ... |
| 113 Certificate chain | 113 Certificate chain |
| 144 | 144 |
| 145 | 145 |
| 146 <section id="single_http_https_server" name="単一の HTTP/HTTPS サーバ"> | 146 <section id="single_http_https_server" name="単一の HTTP/HTTPS サーバ"> |
| 147 | 147 |
| 148 <para> | 148 <para> |
| 149 最初の段階から HTTP と HTTPS プロトコル用にサーバを分けて設定するのは優れた実践です。現時点では両者の機能性としては等しいかもしれませんが、将来的に大きな変更があるかもしれず、統合されたサーバの使用が問題になるかもしれません。とはいえ、HTTP と HTTPS のサーバが等しく、将来のことを考えたくないのなら、ディレクティブ <dirname>ssl on</dirname> を削除して *:443 ポートに <dirname>ssl</dirname> パラメータを追加することによって HTTP と HTTPS リクエストの両者を扱う単一のサーバを設定することができます: | 149 最初の段階から HTTP と HTTPS プロトコル用にサーバを分けて設定するのは優れた実践です。現時点では両者の機能性としては等しいかもしれませんが、将来的に大きな変更があるかもしれず、統合されたサーバの使用が問題になるかもしれません。とはいえ、HTTP と HTTPS のサーバが等しく、将来のことを考えたくないのなら、ディレクティブ <literal>ssl on</literal> を削除して *:443 ポートに <literal>ssl</literal> パラメータを追加することによって HTTP と HTTPS リクエストの両者を扱う単一のサーバを設定することができます: |
| 150 | 150 |
| 151 <programlisting> | 151 <programlisting> |
| 152 server { | 152 server { |
| 153 listen 80; | 153 listen 80; |
| 154 listen 443 ssl; | 154 listen 443 ssl; |
| 158 ... | 158 ... |
| 159 } | 159 } |
| 160 </programlisting> | 160 </programlisting> |
| 161 | 161 |
| 162 <note> | 162 <note> |
| 163 0.8.21 以前では、nginx は <dirname>default</dirname> パラメータで待ち受けているソケットに <dirname>ssl</dirname> パラメータをセットすることしかできませんでした: | 163 0.8.21 以前では、nginx は <literal>default</literal> パラメータで待ち受けているソケットに <literal>ssl</literal> パラメータをセットすることしかできませんでした: |
| 164 <programlisting> | 164 <programlisting> |
| 165 listen 443 default ssl; | 165 listen 443 default ssl; |
| 166 </programlisting> | 166 </programlisting> |
| 167 </note> | 167 </note> |
| 168 </para> | 168 </para> |
| 318 <item> | 318 <item> |
| 319 “-V” スイッチでの SNI サポートステータス表示は 0.8.21 以降と 0.7.62 でサポートされています。 | 319 “-V” スイッチでの SNI サポートステータス表示は 0.8.21 以降と 0.7.62 でサポートされています。 |
| 320 </item> | 320 </item> |
| 321 | 321 |
| 322 <item> | 322 <item> |
| 323 <dirname>listen</dirname> ディレクティブの <dirname>ssl</dirname> パラメータは 0.7.14 以降からサポートされています。 | 323 <literal>listen</literal> ディレクティブの <literal>ssl</literal> パラメータは 0.7.14 以降からサポートされています。 |
| 324 </item> | 324 </item> |
| 325 | 325 |
| 326 <item> | 326 <item> |
| 327 SNI は 0.5.32 以降からサポートされています。 | 327 SNI は 0.5.32 以降からサポートされています。 |
| 328 </item> | 328 </item> |
| 350 | 350 |
| 351 <para> | 351 <para> |
| 352 <list> | 352 <list> |
| 353 | 353 |
| 354 <item> | 354 <item> |
| 355 バージョン 0.7.65 と 0.8.20 以降のデフォルトの SSL 暗号は <dirname>HIGH:!ADH:!MD5</dirname> です。 | 355 バージョン 0.7.65 と 0.8.20 以降のデフォルトの SSL 暗号は <literal>HIGH:!ADH:!MD5</literal> です。 |
| 356 </item> | 356 </item> |
| 357 | 357 |
| 358 <item> | 358 <item> |
| 359 バージョン 0.8.19 のデフォルトの SSL 暗号は <dirname>ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM</dirname> です。 | 359 バージョン 0.8.19 のデフォルトの SSL 暗号は <literal>ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM</literal> です。 |
| 360 </item> | 360 </item> |
| 361 | 361 |
| 362 <item> | 362 <item> |
| 363 バージョン 0.7.64 と 0.8.18 以前のデフォルトの SSL 暗号は <dirname>ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP</dirname> です。 | 363 バージョン 0.7.64 と 0.8.18 以前のデフォルトの SSL 暗号は <literal>ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP</literal> です。 |
| 364 </item> | 364 </item> |
| 365 | 365 |
| 366 </list> | 366 </list> |
| 367 </para> | 367 </para> |
| 368 | 368 |