Mercurial > hg > nginx-site
comparison xml/ru/docs/stream/ngx_stream_ssl_module.xml @ 1520:ed36e909bc79
Translated stream_ssl_module into Russian.
author | Yaroslav Zhuravlev <yar@nginx.com> |
---|---|
date | Tue, 30 Jun 2015 17:00:34 +0300 |
parents | xml/en/docs/stream/ngx_stream_ssl_module.xml@3687cc9a3592 |
children | e3d3e2ed4275 |
comparison
equal
deleted
inserted
replaced
1519:89ac38f2225b | 1520:ed36e909bc79 |
---|---|
1 <?xml version="1.0"?> | |
2 | |
3 <!-- | |
4 Copyright (C) Nginx, Inc. | |
5 --> | |
6 | |
7 <!DOCTYPE module SYSTEM "../../../../dtd/module.dtd"> | |
8 | |
9 <module name="Модуль ngx_stream_ssl_module" | |
10 link="/ru/docs/stream/ngx_stream_ssl_module.html" | |
11 lang="ru" | |
12 rev="4"> | |
13 | |
14 <section id="summary"> | |
15 | |
16 <para> | |
17 Модуль <literal>ngx_stream_ssl_module</literal> (1.9.0) | |
18 обеспечивает необходимую поддержку для работы | |
19 прокси-сервера по протоколу SSL/TLS. | |
20 По умолчанию этот модуль не собирается, его сборку необходимо | |
21 разрешить с помощью конфигурационного параметра | |
22 <literal>--with-stream_ssl_module</literal>. | |
23 </para> | |
24 | |
25 </section> | |
26 | |
27 | |
28 <section id="directives" name="Директивы"> | |
29 | |
30 <directive name="ssl_certificate"> | |
31 <syntax><value>файл</value></syntax> | |
32 <default/> | |
33 <context>stream</context> | |
34 <context>server</context> | |
35 | |
36 <para> | |
37 Указывает <value>файл</value> с сертификатом в формате PEM | |
38 для данного сервера. | |
39 Если вместе с основным сертификатом нужно указать промежуточные, | |
40 то они должны находиться в этом же файле в следующем порядке — сначала | |
41 основной сертификат, а затем промежуточные. | |
42 В этом же файле может находиться секретный ключ в формате PEM. | |
43 </para> | |
44 | |
45 </directive> | |
46 | |
47 | |
48 <directive name="ssl_certificate_key"> | |
49 <syntax><value>файл</value></syntax> | |
50 <default/> | |
51 <context>stream</context> | |
52 <context>server</context> | |
53 | |
54 <para> | |
55 Указывает <value>файл</value> с секретным ключом в формате PEM | |
56 для данного сервера. | |
57 </para> | |
58 | |
59 <para> | |
60 Вместо <value>файла</value> можно указать значение | |
61 <literal>engine</literal>:<value>имя</value>:<value>id</value>, | |
62 которое загружает ключ с указанным <value>id</value> | |
63 из OpenSSL engine с заданным <value>именем</value>. | |
64 </para> | |
65 | |
66 </directive> | |
67 | |
68 | |
69 <directive name="ssl_ciphers"> | |
70 <syntax><value>шифры</value></syntax> | |
71 <default>HIGH:!aNULL:!MD5</default> | |
72 <context>stream</context> | |
73 <context>server</context> | |
74 | |
75 <para> | |
76 Описывает разрешённые шифры. | |
77 Шифры задаются в формате, поддерживаемом библиотекой | |
78 OpenSSL, например: | |
79 <example> | |
80 ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; | |
81 </example> | |
82 </para> | |
83 | |
84 <para> | |
85 Полный список можно посмотреть с помощью команды | |
86 “<command>openssl ciphers</command>”. | |
87 </para> | |
88 | |
89 </directive> | |
90 | |
91 | |
92 <directive name="ssl_dhparam"> | |
93 <syntax><value>файл</value></syntax> | |
94 <default/> | |
95 <context>stream</context> | |
96 <context>server</context> | |
97 | |
98 <para> | |
99 Указывает <value>файл</value> с параметрами для шифров с обменом EDH-ключами. | |
100 </para> | |
101 | |
102 </directive> | |
103 | |
104 | |
105 <directive name="ssl_ecdh_curve"> | |
106 <syntax><value>кривая</value></syntax> | |
107 <default>prime256v1</default> | |
108 <context>stream</context> | |
109 <context>server</context> | |
110 | |
111 <para> | |
112 Задаёт <value>кривую</value> для ECDHE-шифров. | |
113 </para> | |
114 | |
115 </directive> | |
116 | |
117 | |
118 <directive name="ssl_handshake_timeout"> | |
119 <syntax><value>время</value></syntax> | |
120 <default>60s</default> | |
121 <context>stream</context> | |
122 <context>server</context> | |
123 | |
124 <para> | |
125 Задаёт таймаут для завершения операции SSL handshake. | |
126 </para> | |
127 | |
128 </directive> | |
129 | |
130 | |
131 <directive name="ssl_password_file"> | |
132 <syntax><value>файл</value></syntax> | |
133 <default/> | |
134 <context>stream</context> | |
135 <context>server</context> | |
136 | |
137 <para> | |
138 Задаёт <value>файл</value> с паролями от | |
139 <link id="ssl_certificate_key">секретных ключей</link>, | |
140 где каждый пароль указан на отдельной строке. | |
141 Пароли применяются по очереди в момент загрузки ключа. | |
142 </para> | |
143 | |
144 <para> | |
145 Пример: | |
146 <example> | |
147 stream { | |
148 ssl_password_file /etc/keys/global.pass; | |
149 ... | |
150 | |
151 server { | |
152 listen 127.0.0.1:12345; | |
153 ssl_certificate_key /etc/keys/first.key; | |
154 } | |
155 | |
156 server { | |
157 listen 127.0.0.1:12346; | |
158 | |
159 # вместо файла можно указать именованный канал | |
160 ssl_password_file /etc/keys/fifo; | |
161 ssl_certificate_key /etc/keys/second.key; | |
162 } | |
163 } | |
164 </example> | |
165 </para> | |
166 | |
167 </directive> | |
168 | |
169 | |
170 <directive name="ssl_prefer_server_ciphers"> | |
171 <syntax><literal>on</literal> | <literal>off</literal></syntax> | |
172 <default>off</default> | |
173 <context>stream</context> | |
174 <context>server</context> | |
175 | |
176 <para> | |
177 Указывает, чтобы при использовании протоколов SSLv3 и TLS | |
178 серверные шифры были более приоритетны, чем клиентские. | |
179 </para> | |
180 | |
181 </directive> | |
182 | |
183 | |
184 <directive name="ssl_protocols"> | |
185 <syntax> | |
186 [<literal>SSLv2</literal>] | |
187 [<literal>SSLv3</literal>] | |
188 [<literal>TLSv1</literal>] | |
189 [<literal>TLSv1.1</literal>] | |
190 [<literal>TLSv1.2</literal>]</syntax> | |
191 <default>TLSv1 TLSv1.1 TLSv1.2</default> | |
192 <context>stream</context> | |
193 <context>server</context> | |
194 | |
195 <para> | |
196 Разрешает указанные протоколы. | |
197 Параметры <literal>TLSv1.1</literal> и <literal>TLSv1.2</literal> работают | |
198 только при использовании библиотеки OpenSSL версии 1.0.1 и выше. | |
199 </para> | |
200 | |
201 </directive> | |
202 | |
203 | |
204 <directive name="ssl_session_cache"> | |
205 <syntax> | |
206 <literal>off</literal> | | |
207 <literal>none</literal> | | |
208 [<literal>builtin</literal>[:<value>размер</value>]] | |
209 [<literal>shared</literal>:<value>название</value>:<value>размер</value>]</syntax> | |
210 <default>none</default> | |
211 <context>stream</context> | |
212 <context>server</context> | |
213 | |
214 <para> | |
215 Задаёт тип и размеры кэшей для хранения параметров сессий. | |
216 Тип кэша может быть следующим: | |
217 <list type="tag"> | |
218 | |
219 <tag-name><literal>off</literal></tag-name> | |
220 <tag-desc> | |
221 жёсткое запрещение использования кэша сессий: | |
222 nginx явно сообщает клиенту, что сессии не могут использоваться повторно. | |
223 </tag-desc> | |
224 | |
225 <tag-name><literal>none</literal></tag-name> | |
226 <tag-desc> | |
227 мягкое запрещение использования кэша сессий: | |
228 nginx сообщает клиенту, что сессии могут использоваться повторно, но | |
229 на самом деле не хранит параметры сессии в кэше. | |
230 </tag-desc> | |
231 | |
232 <tag-name><literal>builtin</literal></tag-name> | |
233 <tag-desc> | |
234 встроенный в OpenSSL кэш, используется в рамках только одного рабочего процесса. | |
235 Размер кэша задаётся в сессиях. | |
236 Если размер не задан, то он равен 20480 сессиям. | |
237 Использование встроенного кэша может вести к фрагментации памяти. | |
238 </tag-desc> | |
239 | |
240 <tag-name><literal>shared</literal></tag-name> | |
241 <tag-desc> | |
242 кэш, разделяемый между всеми рабочими процессами. | |
243 Размер кэша задаётся в байтах, в 1 мегабайт может поместиться | |
244 около 4000 сессий. | |
245 У каждого разделяемого кэша должно быть произвольное название. | |
246 Кэш с одинаковым названием может использоваться в нескольких | |
247 серверах. | |
248 </tag-desc> | |
249 | |
250 </list> | |
251 </para> | |
252 | |
253 <para> | |
254 Можно использовать одновременно оба типа кэша, например: | |
255 <example> | |
256 ssl_session_cache builtin:1000 shared:SSL:10m; | |
257 </example> | |
258 однако использование только разделяемого кэша без встроенного должно | |
259 быть более эффективным. | |
260 </para> | |
261 | |
262 </directive> | |
263 | |
264 | |
265 <directive name="ssl_session_ticket_key"> | |
266 <syntax><value>файл</value></syntax> | |
267 <default/> | |
268 <context>stream</context> | |
269 <context>server</context> | |
270 | |
271 <para> | |
272 Задаёт <value>файл</value> с секретным ключом, применяемым при шифровании и | |
273 расшифровании TLS session tickets. | |
274 Директива необходима, если один и тот же ключ нужно использовать | |
275 на нескольких серверах. | |
276 По умолчанию используется случайно сгенерированный ключ. | |
277 </para> | |
278 | |
279 <para> | |
280 Если указано несколько ключей, то только первый ключ | |
281 используется для шифрования TLS session tickets. | |
282 Это позволяет настроить ротацию ключей, например: | |
283 <example> | |
284 ssl_session_ticket_key current.key; | |
285 ssl_session_ticket_key previous.key; | |
286 </example> | |
287 </para> | |
288 | |
289 <para> | |
290 <value>Файл</value> должен содержать 48 байт случайных данных и может быть | |
291 создан следующей командой: | |
292 <example> | |
293 openssl rand 48 > ticket.key | |
294 </example> | |
295 </para> | |
296 | |
297 </directive> | |
298 | |
299 | |
300 <directive name="ssl_session_tickets"> | |
301 <syntax><literal>on</literal> | <literal>off</literal></syntax> | |
302 <default>on</default> | |
303 <context>stream</context> | |
304 <context>server</context> | |
305 | |
306 <para> | |
307 Разрешает или запрещает возобновление сессий при помощи | |
308 <link url="http://tools.ietf.org/html/rfc5077">TLS session tickets</link>. | |
309 </para> | |
310 | |
311 </directive> | |
312 | |
313 | |
314 <directive name="ssl_session_timeout"> | |
315 <syntax><value>время</value></syntax> | |
316 <default>5m</default> | |
317 <context>stream</context> | |
318 <context>server</context> | |
319 | |
320 <para> | |
321 Задаёт время, в течение которого клиент может повторно | |
322 использовать параметры сессии, хранящейся в кэше. | |
323 </para> | |
324 | |
325 </directive> | |
326 | |
327 </section> | |
328 | |
329 </module> |