Mercurial > hg > nginx-site

diff xml/ru/docs/http/ngx_http_ssl_module.xml @ 2548:ffc4083f5c7e

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
Documented ssl_ocsp, ssl_ocsp_cache, ssl_ocsp_responder directives.
author Yaroslav Zhuravlev <yar@nginx.com>
date Tue, 19 May 2020 12:43:22 +0100
parents c60a8a15010c
children d8bf37d20449
line wrap: on
line diff
--- a/xml/ru/docs/http/ngx_http_ssl_module.xml	Tue May 19 15:05:49 2020 +0100
+++ b/xml/ru/docs/http/ngx_http_ssl_module.xml	Tue May 19 12:43:22 2020 +0100
@@ -10,7 +10,7 @@
 <module name="Модуль ngx_http_ssl_module"
         link="/ru/docs/http/ngx_http_ssl_module.html"
         lang="ru"
-        rev="48">
+        rev="49">
 
 <section id="summary">
 
@@ -403,6 +403,93 @@
 
 </directive>
 
+<directive name="ssl_ocsp">
+<syntax><literal>on</literal> |
+        <literal>off</literal> |
+        <literal>leaf</literal></syntax>
+<default>off</default>
+<context>http</context>
+<context>server</context>
+<appeared-in>1.19.0</appeared-in>
+
+<para>
+Включает проверку OCSP для цепочки клиентских сертификатов.
+Параметр <literal>leaf</literal>
+включает проверку только клиентского сертификата.
+</para>
+
+<para>
+Для работы проверки OCSP
+необходимо дополнительно установить значение директивы
+<link id="ssl_verify_client"/> в
+<literal>on</literal> или <literal>optional</literal>.
+</para>
+
+<para>
+Для преобразования имени хоста OCSP responder’а в адрес необходимо
+дополнительно задать директиву
+<link doc="ngx_http_core_module.xml" id="resolver"/>.
+</para>
+
+<para>
+Пример:
+<example>
+ssl_verify_client on;
+ssl_ocsp          on;
+resolver          192.0.2.1;
+</example>
+</para>
+
+</directive>
+
+
+<directive name="ssl_ocsp_cache">
+<syntax>
+    <literal>off</literal> |
+    [<literal>shared</literal>:<value>имя</value>:<value>размер</value>]</syntax>
+<default>off</default>
+<context>http</context>
+<context>server</context>
+<appeared-in>1.19.0</appeared-in>
+
+<para>
+Задаёт <literal>имя</literal> и <literal>размер</literal> кэша,
+который хранит статус клиентских сертификатов для проверки OCSP-ответов.
+Кэш разделяется между всеми рабочими процессами.
+Кэш с одинаковым названием может использоваться в нескольких
+виртуальных серверах.
+</para>
+
+<para>
+Параметр <literal>off</literal> запрещает использование кэша.
+</para>
+
+</directive>
+
+
+<directive name="ssl_ocsp_responder">
+<syntax><value>url</value></syntax>
+<default/>
+<context>http</context>
+<context>server</context>
+<appeared-in>1.19.0</appeared-in>
+
+<para>
+Переопределяет URL OCSP responder’а, указанный в расширении сертификата
+“<link url="https://tools.ietf.org/html/rfc5280#section-4.2.2.1">Authority
+Information Access</link>”
+для <link id="ssl_ocsp">проверки</link> клиентских сертификатов.
+</para>
+
+<para>
+Поддерживаются только “<literal>http://</literal>” OCSP responder’ы:
+<example>
+ssl_ocsp_responder http://ocsp.example.com/;
+</example>
+</para>
+
+</directive>
+
 
 <directive name="ssl_password_file">
 <syntax><value>файл</value></syntax>