Mercurial > hg > nginx-site
comparison xml/ru/docs/stream/ngx_stream_ssl_module.xml @ 1869:e1d0b56c0310
Documented support for client certificate verification in stream.
author | Yaroslav Zhuravlev <yar@nginx.com> |
---|---|
date | Tue, 20 Dec 2016 23:02:18 +0300 |
parents | 0882ccb0c00f |
children | b451f03e0a4b |
comparison
equal
deleted
inserted
replaced
1868:c6b5826b64f7 | 1869:e1d0b56c0310 |
---|---|
7 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd"> | 7 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd"> |
8 | 8 |
9 <module name="Модуль ngx_stream_ssl_module" | 9 <module name="Модуль ngx_stream_ssl_module" |
10 link="/ru/docs/stream/ngx_stream_ssl_module.html" | 10 link="/ru/docs/stream/ngx_stream_ssl_module.html" |
11 lang="ru" | 11 lang="ru" |
12 rev="12"> | 12 rev="13"> |
13 | 13 |
14 <section id="summary"> | 14 <section id="summary"> |
15 | 15 |
16 <para> | 16 <para> |
17 Модуль <literal>ngx_stream_ssl_module</literal> (1.9.0) | 17 Модуль <literal>ngx_stream_ssl_module</literal> (1.9.0) |
155 </para> | 155 </para> |
156 | 156 |
157 <para> | 157 <para> |
158 Полный список можно посмотреть с помощью команды | 158 Полный список можно посмотреть с помощью команды |
159 “<command>openssl ciphers</command>”. | 159 “<command>openssl ciphers</command>”. |
160 </para> | |
161 | |
162 </directive> | |
163 | |
164 | |
165 <directive name="ssl_client_certificate"> | |
166 <syntax><value>файл</value></syntax> | |
167 <default/> | |
168 <context>stream</context> | |
169 <context>server</context> | |
170 <appeared-in>1.11.8</appeared-in> | |
171 | |
172 <para> | |
173 Указывает <value>файл</value> с доверенными сертификатами CA в формате | |
174 PEM, которые используются для | |
175 <link id="ssl_verify_client">проверки</link> клиентских сертификатов. | |
176 </para> | |
177 | |
178 <para> | |
179 Список сертификатов будет отправляться клиентам. | |
180 Если это нежелательно, можно воспользоваться директивой | |
181 <link id="ssl_trusted_certificate"/>. | |
182 </para> | |
183 | |
184 </directive> | |
185 | |
186 | |
187 <directive name="ssl_crl"> | |
188 <syntax><value>файл</value></syntax> | |
189 <default/> | |
190 <context>stream</context> | |
191 <context>server</context> | |
192 <appeared-in>1.11.8</appeared-in> | |
193 | |
194 <para> | |
195 Указывает <value>файл</value> с отозванными сертификатами (CRL) | |
196 в формате PEM, используемыми для | |
197 <link id="ssl_verify_client">проверки</link> клиентских сертификатов. | |
160 </para> | 198 </para> |
161 | 199 |
162 </directive> | 200 </directive> |
163 | 201 |
164 | 202 |
416 использовать параметры сессии. | 454 использовать параметры сессии. |
417 </para> | 455 </para> |
418 | 456 |
419 </directive> | 457 </directive> |
420 | 458 |
459 | |
460 <directive name="ssl_trusted_certificate"> | |
461 <syntax><value>файл</value></syntax> | |
462 <default/> | |
463 <context>stream</context> | |
464 <context>server</context> | |
465 <appeared-in>1.11.8</appeared-in> | |
466 | |
467 <para> | |
468 Задаёт <value>файл</value> с доверенными сертификатами CA в формате PEM, | |
469 которые используются для <link id="ssl_verify_client">проверки</link> | |
470 клиентских сертификатов. | |
471 </para> | |
472 | |
473 <para> | |
474 В отличие от <link id="ssl_client_certificate"/>, список этих сертификатов | |
475 не будет отправляться клиентам. | |
476 </para> | |
477 | |
478 </directive> | |
479 | |
480 | |
481 <directive name="ssl_verify_client"> | |
482 <syntax> | |
483 <literal>on</literal> | <literal>off</literal> | | |
484 <literal>optional</literal> | <literal>optional_no_ca</literal></syntax> | |
485 <default>off</default> | |
486 <context>stream</context> | |
487 <context>server</context> | |
488 <appeared-in>1.11.8</appeared-in> | |
489 | |
490 | |
491 <para> | |
492 Разрешает проверку клиентских сертификатов. | |
493 Результат проверки доступен через переменную | |
494 <link id="var_ssl_client_verify">$ssl_client_verify</link>. | |
495 </para> | |
496 | |
497 <para> | |
498 Параметр <literal>optional</literal> запрашивает клиентский | |
499 сертификат, и если сертификат был предоставлен, проверяет его. | |
500 </para> | |
501 | |
502 <para> | |
503 Параметр <literal>optional_no_ca</literal> | |
504 запрашивает сертификат | |
505 клиента, но не требует, чтобы он был подписан доверенным сертификатом CA. | |
506 Это предназначено для случаев, когда фактическая проверка сертификата | |
507 осуществляется внешним по отношению к nginx’у сервисом. | |
508 Содержимое сертификата доступно через переменную | |
509 <link id="var_ssl_client_cert">$ssl_client_cert</link>. | |
510 </para> | |
511 | |
512 </directive> | |
513 | |
514 | |
515 <directive name="ssl_verify_depth"> | |
516 <syntax><value>число</value></syntax> | |
517 <default>1</default> | |
518 <context>stream</context> | |
519 <context>server</context> | |
520 <appeared-in>1.11.8</appeared-in> | |
521 | |
522 <para> | |
523 Устанавливает глубину проверки в цепочке клиентских сертификатов. | |
524 </para> | |
525 | |
526 </directive> | |
527 | |
421 </section> | 528 </section> |
422 | 529 |
423 | 530 |
424 <section id="variables" name="Встроенные переменные"> | 531 <section id="variables" name="Встроенные переменные"> |
425 | 532 |
445 Переменная полностью поддерживается при использовании OpenSSL версии 1.0.2 | 552 Переменная полностью поддерживается при использовании OpenSSL версии 1.0.2 |
446 и выше. | 553 и выше. |
447 При использовании более старых версий переменная доступна | 554 При использовании более старых версий переменная доступна |
448 только для новых сессий и может содержать только известные шифры. | 555 только для новых сессий и может содержать только известные шифры. |
449 </note> | 556 </note> |
557 </tag-desc> | |
558 | |
559 <tag-name id="var_ssl_client_cert"><var>$ssl_client_cert</var></tag-name> | |
560 <tag-desc> | |
561 возвращает клиентский сертификат | |
562 для установленного SSL-соединения в формате PEM | |
563 перед каждой строкой которого, кроме первой, вставляется символ табуляции(1.11.8); | |
564 </tag-desc> | |
565 | |
566 <tag-name id="var_ssl_client_fingerprint"><var>$ssl_client_fingerprint</var></tag-name> | |
567 <tag-desc> | |
568 возвращает SHA1-отпечаток клиентского сертификата | |
569 для установленного SSL-соединения (1.11.8); | |
570 </tag-desc> | |
571 | |
572 <tag-name id="var_ssl_client_i_dn"><var>$ssl_client_i_dn</var></tag-name> | |
573 <tag-desc> | |
574 возвращает строку “issuer DN” клиентского сертификата | |
575 для установленного SSL-соединения согласно | |
576 <link url="https://tools.ietf.org/html/rfc2253">RFC 2253</link> (1.11.8); | |
577 </tag-desc> | |
578 | |
579 <tag-name id="var_ssl_client_raw_cert"><var>$ssl_client_raw_cert</var> | |
580 </tag-name> | |
581 <tag-desc> | |
582 возвращает клиентский сертификат | |
583 для установленного SSL-соединения в формате PEM (1.11.8); | |
584 </tag-desc> | |
585 | |
586 <tag-name id="var_ssl_client_s_dn"><var>$ssl_client_s_dn</var></tag-name> | |
587 <tag-desc> | |
588 возвращает строку “subject DN” клиентского сертификата | |
589 для установленного SSL-соединения согласно | |
590 <link url="https://tools.ietf.org/html/rfc2253">RFC 2253</link> (1.11.8); | |
591 </tag-desc> | |
592 | |
593 <tag-name id="var_ssl_client_serial"><var>$ssl_client_serial</var></tag-name> | |
594 <tag-desc> | |
595 возвращает серийный номер клиентского сертификата | |
596 для установленного SSL-соединения (1.11.8); | |
597 </tag-desc> | |
598 | |
599 <tag-name id="var_ssl_client_v_end"><var>$ssl_client_v_end</var></tag-name> | |
600 <tag-desc> | |
601 возвращает дату окончания срока действия клиентского сертификата (1.11.8); | |
602 </tag-desc> | |
603 | |
604 <tag-name id="var_ssl_client_v_remain"><var>$ssl_client_v_remain</var></tag-name> | |
605 <tag-desc> | |
606 возвращает число дней, | |
607 оставшихся до истечения срока действия клиентского сертификата (1.11.8); | |
608 </tag-desc> | |
609 | |
610 <tag-name id="var_ssl_client_v_start"><var>$ssl_client_v_start</var></tag-name> | |
611 <tag-desc> | |
612 возвращает дату начала срока действия клиентского сертификата (1.11.8); | |
613 </tag-desc> | |
614 | |
615 <tag-name id="var_ssl_client_verify"><var>$ssl_client_verify</var></tag-name> | |
616 <tag-desc> | |
617 возвращает результат проверки клиентского сертификата (1.11.8): | |
618 “<literal>SUCCESS</literal>”, “<literal>FAILED:</literal><value>reason</value>” | |
619 и, если сертификат не был предоставлен, “<literal>NONE</literal>”; | |
450 </tag-desc> | 620 </tag-desc> |
451 | 621 |
452 <tag-name id="var_ssl_curves"><var>$ssl_curves</var></tag-name> | 622 <tag-name id="var_ssl_curves"><var>$ssl_curves</var></tag-name> |
453 <tag-desc> | 623 <tag-desc> |
454 возвращает список кривых, поддерживаемых клиентом (1.11.7). | 624 возвращает список кривых, поддерживаемых клиентом (1.11.7). |