Mercurial > hg > nginx-site

comparison xml/ru/docs/stream/ngx_stream_ssl_module.xml @ 1520:ed36e909bc79

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
Translated stream_ssl_module into Russian.
author Yaroslav Zhuravlev <yar@nginx.com>
date Tue, 30 Jun 2015 17:00:34 +0300
parents xml/en/docs/stream/ngx_stream_ssl_module.xml@3687cc9a3592
children e3d3e2ed4275
comparison
equal deleted inserted replaced
1519:89ac38f2225b 1520:ed36e909bc79
1 <?xml version="1.0"?>
2
3 <!--
4 Copyright (C) Nginx, Inc.
5 -->
6
7 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd">
8
9 <module name="Модуль ngx_stream_ssl_module"
10 link="/ru/docs/stream/ngx_stream_ssl_module.html"
11 lang="ru"
12 rev="4">
13
14 <section id="summary">
15
16 <para>
17 Модуль <literal>ngx_stream_ssl_module</literal> (1.9.0)
18 обеспечивает необходимую поддержку для работы
19 прокси-сервера по протоколу SSL/TLS.
20 По умолчанию этот модуль не собирается, его сборку необходимо
21 разрешить с помощью конфигурационного параметра
22 <literal>--with-stream_ssl_module</literal>.
23 </para>
24
25 </section>
26
27
28 <section id="directives" name="Директивы">
29
30 <directive name="ssl_certificate">
31 <syntax><value>файл</value></syntax>
32 <default/>
33 <context>stream</context>
34 <context>server</context>
35
36 <para>
37 Указывает <value>файл</value> с сертификатом в формате PEM
38 для данного сервера.
39 Если вместе с основным сертификатом нужно указать промежуточные,
40 то они должны находиться в этом же файле в следующем порядке — сначала
41 основной сертификат, а затем промежуточные.
42 В этом же файле может находиться секретный ключ в формате PEM.
43 </para>
44
45 </directive>
46
47
48 <directive name="ssl_certificate_key">
49 <syntax><value>файл</value></syntax>
50 <default/>
51 <context>stream</context>
52 <context>server</context>
53
54 <para>
55 Указывает <value>файл</value> с секретным ключом в формате PEM
56 для данного сервера.
57 </para>
58
59 <para>
60 Вместо <value>файла</value> можно указать значение
61 <literal>engine</literal>:<value>имя</value>:<value>id</value>,
62 которое загружает ключ с указанным <value>id</value>
63 из OpenSSL engine с заданным <value>именем</value>.
64 </para>
65
66 </directive>
67
68
69 <directive name="ssl_ciphers">
70 <syntax><value>шифры</value></syntax>
71 <default>HIGH:!aNULL:!MD5</default>
72 <context>stream</context>
73 <context>server</context>
74
75 <para>
76 Описывает разрешённые шифры.
77 Шифры задаются в формате, поддерживаемом библиотекой
78 OpenSSL, например:
79 <example>
80 ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
81 </example>
82 </para>
83
84 <para>
85 Полный список можно посмотреть с помощью команды
86 “<command>openssl ciphers</command>”.
87 </para>
88
89 </directive>
90
91
92 <directive name="ssl_dhparam">
93 <syntax><value>файл</value></syntax>
94 <default/>
95 <context>stream</context>
96 <context>server</context>
97
98 <para>
99 Указывает <value>файл</value> с параметрами для шифров с обменом EDH-ключами.
100 </para>
101
102 </directive>
103
104
105 <directive name="ssl_ecdh_curve">
106 <syntax><value>кривая</value></syntax>
107 <default>prime256v1</default>
108 <context>stream</context>
109 <context>server</context>
110
111 <para>
112 Задаёт <value>кривую</value> для ECDHE-шифров.
113 </para>
114
115 </directive>
116
117
118 <directive name="ssl_handshake_timeout">
119 <syntax><value>время</value></syntax>
120 <default>60s</default>
121 <context>stream</context>
122 <context>server</context>
123
124 <para>
125 Задаёт таймаут для завершения операции SSL handshake.
126 </para>
127
128 </directive>
129
130
131 <directive name="ssl_password_file">
132 <syntax><value>файл</value></syntax>
133 <default/>
134 <context>stream</context>
135 <context>server</context>
136
137 <para>
138 Задаёт <value>файл</value> с паролями от
139 <link id="ssl_certificate_key">секретных ключей</link>,
140 где каждый пароль указан на отдельной строке.
141 Пароли применяются по очереди в момент загрузки ключа.
142 </para>
143
144 <para>
145 Пример:
146 <example>
147 stream {
148 ssl_password_file /etc/keys/global.pass;
149 ...
150
151 server {
152 listen 127.0.0.1:12345;
153 ssl_certificate_key /etc/keys/first.key;
154 }
155
156 server {
157 listen 127.0.0.1:12346;
158
159 # вместо файла можно указать именованный канал
160 ssl_password_file /etc/keys/fifo;
161 ssl_certificate_key /etc/keys/second.key;
162 }
163 }
164 </example>
165 </para>
166
167 </directive>
168
169
170 <directive name="ssl_prefer_server_ciphers">
171 <syntax><literal>on</literal> | <literal>off</literal></syntax>
172 <default>off</default>
173 <context>stream</context>
174 <context>server</context>
175
176 <para>
177 Указывает, чтобы при использовании протоколов SSLv3 и TLS
178 серверные шифры были более приоритетны, чем клиентские.
179 </para>
180
181 </directive>
182
183
184 <directive name="ssl_protocols">
185 <syntax>
186 [<literal>SSLv2</literal>]
187 [<literal>SSLv3</literal>]
188 [<literal>TLSv1</literal>]
189 [<literal>TLSv1.1</literal>]
190 [<literal>TLSv1.2</literal>]</syntax>
191 <default>TLSv1 TLSv1.1 TLSv1.2</default>
192 <context>stream</context>
193 <context>server</context>
194
195 <para>
196 Разрешает указанные протоколы.
197 Параметры <literal>TLSv1.1</literal> и <literal>TLSv1.2</literal> работают
198 только при использовании библиотеки OpenSSL версии 1.0.1 и выше.
199 </para>
200
201 </directive>
202
203
204 <directive name="ssl_session_cache">
205 <syntax>
206 <literal>off</literal> |
207 <literal>none</literal> |
208 [<literal>builtin</literal>[:<value>размер</value>]]
209 [<literal>shared</literal>:<value>название</value>:<value>размер</value>]</syntax>
210 <default>none</default>
211 <context>stream</context>
212 <context>server</context>
213
214 <para>
215 Задаёт тип и размеры кэшей для хранения параметров сессий.
216 Тип кэша может быть следующим:
217 <list type="tag">
218
219 <tag-name><literal>off</literal></tag-name>
220 <tag-desc>
221 жёсткое запрещение использования кэша сессий:
222 nginx явно сообщает клиенту, что сессии не могут использоваться повторно.
223 </tag-desc>
224
225 <tag-name><literal>none</literal></tag-name>
226 <tag-desc>
227 мягкое запрещение использования кэша сессий:
228 nginx сообщает клиенту, что сессии могут использоваться повторно, но
229 на самом деле не хранит параметры сессии в кэше.
230 </tag-desc>
231
232 <tag-name><literal>builtin</literal></tag-name>
233 <tag-desc>
234 встроенный в OpenSSL кэш, используется в рамках только одного рабочего процесса.
235 Размер кэша задаётся в сессиях.
236 Если размер не задан, то он равен 20480 сессиям.
237 Использование встроенного кэша может вести к фрагментации памяти.
238 </tag-desc>
239
240 <tag-name><literal>shared</literal></tag-name>
241 <tag-desc>
242 кэш, разделяемый между всеми рабочими процессами.
243 Размер кэша задаётся в байтах, в 1 мегабайт может поместиться
244 около 4000 сессий.
245 У каждого разделяемого кэша должно быть произвольное название.
246 Кэш с одинаковым названием может использоваться в нескольких
247 серверах.
248 </tag-desc>
249
250 </list>
251 </para>
252
253 <para>
254 Можно использовать одновременно оба типа кэша, например:
255 <example>
256 ssl_session_cache builtin:1000 shared:SSL:10m;
257 </example>
258 однако использование только разделяемого кэша без встроенного должно
259 быть более эффективным.
260 </para>
261
262 </directive>
263
264
265 <directive name="ssl_session_ticket_key">
266 <syntax><value>файл</value></syntax>
267 <default/>
268 <context>stream</context>
269 <context>server</context>
270
271 <para>
272 Задаёт <value>файл</value> с секретным ключом, применяемым при шифровании и
273 расшифровании TLS session tickets.
274 Директива необходима, если один и тот же ключ нужно использовать
275 на нескольких серверах.
276 По умолчанию используется случайно сгенерированный ключ.
277 </para>
278
279 <para>
280 Если указано несколько ключей, то только первый ключ
281 используется для шифрования TLS session tickets.
282 Это позволяет настроить ротацию ключей, например:
283 <example>
284 ssl_session_ticket_key current.key;
285 ssl_session_ticket_key previous.key;
286 </example>
287 </para>
288
289 <para>
290 <value>Файл</value> должен содержать 48 байт случайных данных и может быть
291 создан следующей командой:
292 <example>
293 openssl rand 48 > ticket.key
294 </example>
295 </para>
296
297 </directive>
298
299
300 <directive name="ssl_session_tickets">
301 <syntax><literal>on</literal> | <literal>off</literal></syntax>
302 <default>on</default>
303 <context>stream</context>
304 <context>server</context>
305
306 <para>
307 Разрешает или запрещает возобновление сессий при помощи
308 <link url="http://tools.ietf.org/html/rfc5077">TLS session tickets</link>.
309 </para>
310
311 </directive>
312
313
314 <directive name="ssl_session_timeout">
315 <syntax><value>время</value></syntax>
316 <default>5m</default>
317 <context>stream</context>
318 <context>server</context>
319
320 <para>
321 Задаёт время, в течение которого клиент может повторно
322 использовать параметры сессии, хранящейся в кэше.
323 </para>
324
325 </directive>
326
327 </section>
328
329 </module>