Mercurial > hg > nginx-site

comparison xml/ru/docs/stream/ngx_stream_ssl_module.xml @ 1869:e1d0b56c0310

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
Documented support for client certificate verification in stream.
author Yaroslav Zhuravlev <yar@nginx.com>
date Tue, 20 Dec 2016 23:02:18 +0300
parents 0882ccb0c00f
children b451f03e0a4b
comparison
equal deleted inserted replaced
1868:c6b5826b64f7 1869:e1d0b56c0310
7 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd"> 7 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd">
8 8
9 <module name="Модуль ngx_stream_ssl_module" 9 <module name="Модуль ngx_stream_ssl_module"
10 link="/ru/docs/stream/ngx_stream_ssl_module.html" 10 link="/ru/docs/stream/ngx_stream_ssl_module.html"
11 lang="ru" 11 lang="ru"
12 rev="12"> 12 rev="13">
13 13
14 <section id="summary"> 14 <section id="summary">
15 15
16 <para> 16 <para>
17 Модуль <literal>ngx_stream_ssl_module</literal> (1.9.0) 17 Модуль <literal>ngx_stream_ssl_module</literal> (1.9.0)
155 </para> 155 </para>
156 156
157 <para> 157 <para>
158 Полный список можно посмотреть с помощью команды 158 Полный список можно посмотреть с помощью команды
159 “<command>openssl ciphers</command>”. 159 “<command>openssl ciphers</command>”.
160 </para>
161
162 </directive>
163
164
165 <directive name="ssl_client_certificate">
166 <syntax><value>файл</value></syntax>
167 <default/>
168 <context>stream</context>
169 <context>server</context>
170 <appeared-in>1.11.8</appeared-in>
171
172 <para>
173 Указывает <value>файл</value> с доверенными сертификатами CA в формате
174 PEM, которые используются для
175 <link id="ssl_verify_client">проверки</link> клиентских сертификатов.
176 </para>
177
178 <para>
179 Список сертификатов будет отправляться клиентам.
180 Если это нежелательно, можно воспользоваться директивой
181 <link id="ssl_trusted_certificate"/>.
182 </para>
183
184 </directive>
185
186
187 <directive name="ssl_crl">
188 <syntax><value>файл</value></syntax>
189 <default/>
190 <context>stream</context>
191 <context>server</context>
192 <appeared-in>1.11.8</appeared-in>
193
194 <para>
195 Указывает <value>файл</value> с отозванными сертификатами (CRL)
196 в формате PEM, используемыми для
197 <link id="ssl_verify_client">проверки</link> клиентских сертификатов.
160 </para> 198 </para>
161 199
162 </directive> 200 </directive>
163 201
164 202
416 использовать параметры сессии. 454 использовать параметры сессии.
417 </para> 455 </para>
418 456
419 </directive> 457 </directive>
420 458
459
460 <directive name="ssl_trusted_certificate">
461 <syntax><value>файл</value></syntax>
462 <default/>
463 <context>stream</context>
464 <context>server</context>
465 <appeared-in>1.11.8</appeared-in>
466
467 <para>
468 Задаёт <value>файл</value> с доверенными сертификатами CA в формате PEM,
469 которые используются для <link id="ssl_verify_client">проверки</link>
470 клиентских сертификатов.
471 </para>
472
473 <para>
474 В отличие от <link id="ssl_client_certificate"/>, список этих сертификатов
475 не будет отправляться клиентам.
476 </para>
477
478 </directive>
479
480
481 <directive name="ssl_verify_client">
482 <syntax>
483 <literal>on</literal> | <literal>off</literal> |
484 <literal>optional</literal> | <literal>optional_no_ca</literal></syntax>
485 <default>off</default>
486 <context>stream</context>
487 <context>server</context>
488 <appeared-in>1.11.8</appeared-in>
489
490
491 <para>
492 Разрешает проверку клиентских сертификатов.
493 Результат проверки доступен через переменную
494 <link id="var_ssl_client_verify">$ssl_client_verify</link>.
495 </para>
496
497 <para>
498 Параметр <literal>optional</literal> запрашивает клиентский
499 сертификат, и если сертификат был предоставлен, проверяет его.
500 </para>
501
502 <para>
503 Параметр <literal>optional_no_ca</literal>
504 запрашивает сертификат
505 клиента, но не требует, чтобы он был подписан доверенным сертификатом CA.
506 Это предназначено для случаев, когда фактическая проверка сертификата
507 осуществляется внешним по отношению к nginx’у сервисом.
508 Содержимое сертификата доступно через переменную
509 <link id="var_ssl_client_cert">$ssl_client_cert</link>.
510 </para>
511
512 </directive>
513
514
515 <directive name="ssl_verify_depth">
516 <syntax><value>число</value></syntax>
517 <default>1</default>
518 <context>stream</context>
519 <context>server</context>
520 <appeared-in>1.11.8</appeared-in>
521
522 <para>
523 Устанавливает глубину проверки в цепочке клиентских сертификатов.
524 </para>
525
526 </directive>
527
421 </section> 528 </section>
422 529
423 530
424 <section id="variables" name="Встроенные переменные"> 531 <section id="variables" name="Встроенные переменные">
425 532
445 Переменная полностью поддерживается при использовании OpenSSL версии 1.0.2 552 Переменная полностью поддерживается при использовании OpenSSL версии 1.0.2
446 и выше. 553 и выше.
447 При использовании более старых версий переменная доступна 554 При использовании более старых версий переменная доступна
448 только для новых сессий и может содержать только известные шифры. 555 только для новых сессий и может содержать только известные шифры.
449 </note> 556 </note>
557 </tag-desc>
558
559 <tag-name id="var_ssl_client_cert"><var>$ssl_client_cert</var></tag-name>
560 <tag-desc>
561 возвращает клиентский сертификат
562 для установленного SSL-соединения в формате PEM
563 перед каждой строкой которого, кроме первой, вставляется символ табуляции(1.11.8);
564 </tag-desc>
565
566 <tag-name id="var_ssl_client_fingerprint"><var>$ssl_client_fingerprint</var></tag-name>
567 <tag-desc>
568 возвращает SHA1-отпечаток клиентского сертификата
569 для установленного SSL-соединения (1.11.8);
570 </tag-desc>
571
572 <tag-name id="var_ssl_client_i_dn"><var>$ssl_client_i_dn</var></tag-name>
573 <tag-desc>
574 возвращает строку “issuer DN” клиентского сертификата
575 для установленного SSL-соединения согласно
576 <link url="https://tools.ietf.org/html/rfc2253">RFC 2253</link> (1.11.8);
577 </tag-desc>
578
579 <tag-name id="var_ssl_client_raw_cert"><var>$ssl_client_raw_cert</var>
580 </tag-name>
581 <tag-desc>
582 возвращает клиентский сертификат
583 для установленного SSL-соединения в формате PEM (1.11.8);
584 </tag-desc>
585
586 <tag-name id="var_ssl_client_s_dn"><var>$ssl_client_s_dn</var></tag-name>
587 <tag-desc>
588 возвращает строку “subject DN” клиентского сертификата
589 для установленного SSL-соединения согласно
590 <link url="https://tools.ietf.org/html/rfc2253">RFC 2253</link> (1.11.8);
591 </tag-desc>
592
593 <tag-name id="var_ssl_client_serial"><var>$ssl_client_serial</var></tag-name>
594 <tag-desc>
595 возвращает серийный номер клиентского сертификата
596 для установленного SSL-соединения (1.11.8);
597 </tag-desc>
598
599 <tag-name id="var_ssl_client_v_end"><var>$ssl_client_v_end</var></tag-name>
600 <tag-desc>
601 возвращает дату окончания срока действия клиентского сертификата (1.11.8);
602 </tag-desc>
603
604 <tag-name id="var_ssl_client_v_remain"><var>$ssl_client_v_remain</var></tag-name>
605 <tag-desc>
606 возвращает число дней,
607 оставшихся до истечения срока действия клиентского сертификата (1.11.8);
608 </tag-desc>
609
610 <tag-name id="var_ssl_client_v_start"><var>$ssl_client_v_start</var></tag-name>
611 <tag-desc>
612 возвращает дату начала срока действия клиентского сертификата (1.11.8);
613 </tag-desc>
614
615 <tag-name id="var_ssl_client_verify"><var>$ssl_client_verify</var></tag-name>
616 <tag-desc>
617 возвращает результат проверки клиентского сертификата (1.11.8):
618 “<literal>SUCCESS</literal>”, “<literal>FAILED:</literal><value>reason</value>”
619 и, если сертификат не был предоставлен, “<literal>NONE</literal>”;
450 </tag-desc> 620 </tag-desc>
451 621
452 <tag-name id="var_ssl_curves"><var>$ssl_curves</var></tag-name> 622 <tag-name id="var_ssl_curves"><var>$ssl_curves</var></tag-name>
453 <tag-desc> 623 <tag-desc>
454 возвращает список кривых, поддерживаемых клиентом (1.11.7). 624 возвращает список кривых, поддерживаемых клиентом (1.11.7).