# HG changeset patch # User Yaroslav Zhuravlev # Date 1435672834 -10800 # Node ID ed36e909bc798a4a7eeb64f70c79e867db2413f0 # Parent 89ac38f2225b82c273190b2da306a70f8dd09899 Translated stream_ssl_module into Russian. diff -r 89ac38f2225b -r ed36e909bc79 xml/ru/GNUmakefile --- a/xml/ru/GNUmakefile Wed Jun 24 14:14:50 2015 +0300 +++ b/xml/ru/GNUmakefile Tue Jun 30 17:00:34 2015 +0300 @@ -84,6 +84,7 @@ stream/ngx_stream_access_module \ stream/ngx_stream_limit_conn_module \ stream/ngx_stream_proxy_module \ + stream/ngx_stream_ssl_module \ TOP = \ download \ diff -r 89ac38f2225b -r ed36e909bc79 xml/ru/docs/index.xml --- a/xml/ru/docs/index.xml Wed Jun 24 14:14:50 2015 +0300 +++ b/xml/ru/docs/index.xml Tue Jun 30 17:00:34 2015 +0300 @@ -496,8 +496,8 @@ - -ngx_stream_ssl_module [en] + +ngx_stream_ssl_module diff -r 89ac38f2225b -r ed36e909bc79 xml/ru/docs/stream/ngx_stream_ssl_module.xml --- /dev/null Thu Jan 01 00:00:00 1970 +0000 +++ b/xml/ru/docs/stream/ngx_stream_ssl_module.xml Tue Jun 30 17:00:34 2015 +0300 @@ -0,0 +1,329 @@ + + + + + + + + +
+ + +Модуль ngx_stream_ssl_module (1.9.0) +обеспечивает необходимую поддержку для работы +прокси-сервера по протоколу SSL/TLS. +По умолчанию этот модуль не собирается, его сборку необходимо +разрешить с помощью конфигурационного параметра +--with-stream_ssl_module. + + +
+ + +
+ + +файл + +stream +server + + +Указывает файл с сертификатом в формате PEM +для данного сервера. +Если вместе с основным сертификатом нужно указать промежуточные, +то они должны находиться в этом же файле в следующем порядке — сначала +основной сертификат, а затем промежуточные. +В этом же файле может находиться секретный ключ в формате PEM. + + + + + + +файл + +stream +server + + +Указывает файл с секретным ключом в формате PEM +для данного сервера. + + + +Вместо файла можно указать значение +engine:имя:id, +которое загружает ключ с указанным id +из OpenSSL engine с заданным именем. + + + + + + +шифры +HIGH:!aNULL:!MD5 +stream +server + + +Описывает разрешённые шифры. +Шифры задаются в формате, поддерживаемом библиотекой +OpenSSL, например: + +ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; + + + + +Полный список можно посмотреть с помощью команды +“openssl ciphers”. + + + + + + +файл + +stream +server + + +Указывает файл с параметрами для шифров с обменом EDH-ключами. + + + + + + +кривая +prime256v1 +stream +server + + +Задаёт кривую для ECDHE-шифров. + + + + + + +время +60s +stream +server + + +Задаёт таймаут для завершения операции SSL handshake. + + + + + + +файл + +stream +server + + +Задаёт файл с паролями от +секретных ключей, +где каждый пароль указан на отдельной строке. +Пароли применяются по очереди в момент загрузки ключа. + + + +Пример: + +stream { + ssl_password_file /etc/keys/global.pass; + ... + + server { + listen 127.0.0.1:12345; + ssl_certificate_key /etc/keys/first.key; + } + + server { + listen 127.0.0.1:12346; + + # вместо файла можно указать именованный канал + ssl_password_file /etc/keys/fifo; + ssl_certificate_key /etc/keys/second.key; + } +} + + + + + + + +on | off +off +stream +server + + +Указывает, чтобы при использовании протоколов SSLv3 и TLS +серверные шифры были более приоритетны, чем клиентские. + + + + + + + + [SSLv2] + [SSLv3] + [TLSv1] + [TLSv1.1] + [TLSv1.2] +TLSv1 TLSv1.1 TLSv1.2 +stream +server + + +Разрешает указанные протоколы. +Параметры TLSv1.1 и TLSv1.2 работают +только при использовании библиотеки OpenSSL версии 1.0.1 и выше. + + + + + + + + off | + none | + [builtin[:размер]] + [shared:название:размер] +none +stream +server + + +Задаёт тип и размеры кэшей для хранения параметров сессий. +Тип кэша может быть следующим: + + +off + +жёсткое запрещение использования кэша сессий: +nginx явно сообщает клиенту, что сессии не могут использоваться повторно. + + +none + +мягкое запрещение использования кэша сессий: +nginx сообщает клиенту, что сессии могут использоваться повторно, но +на самом деле не хранит параметры сессии в кэше. + + +builtin + +встроенный в OpenSSL кэш, используется в рамках только одного рабочего процесса. +Размер кэша задаётся в сессиях. +Если размер не задан, то он равен 20480 сессиям. +Использование встроенного кэша может вести к фрагментации памяти. + + +shared + +кэш, разделяемый между всеми рабочими процессами. +Размер кэша задаётся в байтах, в 1 мегабайт может поместиться +около 4000 сессий. +У каждого разделяемого кэша должно быть произвольное название. +Кэш с одинаковым названием может использоваться в нескольких +серверах. + + + + + + +Можно использовать одновременно оба типа кэша, например: + +ssl_session_cache builtin:1000 shared:SSL:10m; + +однако использование только разделяемого кэша без встроенного должно +быть более эффективным. + + + + + + +файл + +stream +server + + +Задаёт файл с секретным ключом, применяемым при шифровании и +расшифровании TLS session tickets. +Директива необходима, если один и тот же ключ нужно использовать +на нескольких серверах. +По умолчанию используется случайно сгенерированный ключ. + + + +Если указано несколько ключей, то только первый ключ +используется для шифрования TLS session tickets. +Это позволяет настроить ротацию ключей, например: + +ssl_session_ticket_key current.key; +ssl_session_ticket_key previous.key; + + + + +Файл должен содержать 48 байт случайных данных и может быть +создан следующей командой: + +openssl rand 48 > ticket.key + + + + + + + +on | off +on +stream +server + + +Разрешает или запрещает возобновление сессий при помощи +TLS session tickets. + + + + + + +время +5m +stream +server + + +Задаёт время, в течение которого клиент может повторно +использовать параметры сессии, хранящейся в кэше. + + + + +
+ +