Mercurial > hg > nginx-site

changeset 1520:ed36e909bc79

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
Translated stream_ssl_module into Russian.
author Yaroslav Zhuravlev <yar@nginx.com>
date Tue, 30 Jun 2015 17:00:34 +0300
parents 89ac38f2225b
children e3d3e2ed4275
files xml/ru/GNUmakefile xml/ru/docs/index.xml xml/ru/docs/stream/ngx_stream_ssl_module.xml
diffstat 3 files changed, 332 insertions(+), 2 deletions(-) [+]
line wrap: on
line diff
--- a/xml/ru/GNUmakefile	Wed Jun 24 14:14:50 2015 +0300
+++ b/xml/ru/GNUmakefile	Tue Jun 30 17:00:34 2015 +0300
@@ -84,6 +84,7 @@
 		stream/ngx_stream_access_module				\
 		stream/ngx_stream_limit_conn_module				\
 		stream/ngx_stream_proxy_module				\
+		stream/ngx_stream_ssl_module				\
 
 TOP =									\
 		download						\
--- a/xml/ru/docs/index.xml	Wed Jun 24 14:14:50 2015 +0300
+++ b/xml/ru/docs/index.xml	Tue Jun 30 17:00:34 2015 +0300
@@ -496,8 +496,8 @@
 </listitem>
 
 <listitem>
-<link doc="../../en/docs/stream/ngx_stream_ssl_module.xml">
-ngx_stream_ssl_module</link> [en]
+<link doc="stream/ngx_stream_ssl_module.xml">
+ngx_stream_ssl_module</link>
 </listitem>
 
 <listitem>
--- /dev/null	Thu Jan 01 00:00:00 1970 +0000
+++ b/xml/ru/docs/stream/ngx_stream_ssl_module.xml	Tue Jun 30 17:00:34 2015 +0300
@@ -0,0 +1,329 @@
+<?xml version="1.0"?>
+
+<!--
+  Copyright (C) Nginx, Inc.
+  -->
+
+<!DOCTYPE module SYSTEM "../../../../dtd/module.dtd">
+
+<module name="Модуль ngx_stream_ssl_module"
+        link="/ru/docs/stream/ngx_stream_ssl_module.html"
+        lang="ru"
+        rev="4">
+
+<section id="summary">
+
+<para>
+Модуль <literal>ngx_stream_ssl_module</literal> (1.9.0)
+обеспечивает необходимую поддержку для работы
+прокси-сервера по протоколу SSL/TLS.
+По умолчанию этот модуль не собирается, его сборку необходимо
+разрешить с помощью конфигурационного параметра
+<literal>--with-stream_ssl_module</literal>.
+</para>
+
+</section>
+
+
+<section id="directives" name="Директивы">
+
+<directive name="ssl_certificate">
+<syntax><value>файл</value></syntax>
+<default/>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Указывает <value>файл</value> с сертификатом в формате PEM
+для данного сервера.
+Если вместе с основным сертификатом нужно указать промежуточные,
+то они должны находиться в этом же файле в следующем порядке — сначала
+основной сертификат, а затем промежуточные.
+В этом же файле может находиться секретный ключ в формате PEM.
+</para>
+
+</directive>
+
+
+<directive name="ssl_certificate_key">
+<syntax><value>файл</value></syntax>
+<default/>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Указывает <value>файл</value> с секретным ключом в формате PEM
+для данного сервера.
+</para>
+
+<para>
+Вместо <value>файла</value> можно указать значение
+<literal>engine</literal>:<value>имя</value>:<value>id</value>,
+которое загружает ключ с указанным <value>id</value>
+из OpenSSL engine с заданным <value>именем</value>.
+</para>
+
+</directive>
+
+
+<directive name="ssl_ciphers">
+<syntax><value>шифры</value></syntax>
+<default>HIGH:!aNULL:!MD5</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Описывает разрешённые шифры.
+Шифры задаются в формате, поддерживаемом библиотекой
+OpenSSL, например:
+<example>
+ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
+</example>
+</para>
+
+<para>
+Полный список можно посмотреть с помощью команды
+“<command>openssl ciphers</command>”.
+</para>
+
+</directive>
+
+
+<directive name="ssl_dhparam">
+<syntax><value>файл</value></syntax>
+<default/>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Указывает <value>файл</value> с параметрами для шифров с обменом EDH-ключами.
+</para>
+
+</directive>
+
+
+<directive name="ssl_ecdh_curve">
+<syntax><value>кривая</value></syntax>
+<default>prime256v1</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Задаёт <value>кривую</value> для ECDHE-шифров.
+</para>
+
+</directive>
+
+
+<directive name="ssl_handshake_timeout">
+<syntax><value>время</value></syntax>
+<default>60s</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Задаёт таймаут для завершения операции SSL handshake.
+</para>
+
+</directive>
+
+
+<directive name="ssl_password_file">
+<syntax><value>файл</value></syntax>
+<default/>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Задаёт <value>файл</value> с паролями от
+<link id="ssl_certificate_key">секретных ключей</link>,
+где каждый пароль указан на отдельной строке.
+Пароли применяются по очереди в момент загрузки ключа.
+</para>
+
+<para>
+Пример:
+<example>
+stream {
+    ssl_password_file /etc/keys/global.pass;
+    ...
+
+    server {
+        listen 127.0.0.1:12345;
+        ssl_certificate_key /etc/keys/first.key;
+    }
+
+    server {
+        listen 127.0.0.1:12346;
+
+        # вместо файла можно указать именованный канал
+        ssl_password_file /etc/keys/fifo;
+        ssl_certificate_key /etc/keys/second.key;
+    }
+}
+</example>
+</para>
+
+</directive>
+
+
+<directive name="ssl_prefer_server_ciphers">
+<syntax><literal>on</literal> | <literal>off</literal></syntax>
+<default>off</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Указывает, чтобы при использовании протоколов SSLv3 и TLS
+серверные шифры были более приоритетны, чем клиентские.
+</para>
+
+</directive>
+
+
+<directive name="ssl_protocols">
+<syntax>
+    [<literal>SSLv2</literal>]
+    [<literal>SSLv3</literal>]
+    [<literal>TLSv1</literal>]
+    [<literal>TLSv1.1</literal>]
+    [<literal>TLSv1.2</literal>]</syntax>
+<default>TLSv1 TLSv1.1 TLSv1.2</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Разрешает указанные протоколы.
+Параметры <literal>TLSv1.1</literal> и <literal>TLSv1.2</literal> работают
+только при использовании библиотеки OpenSSL версии 1.0.1 и выше.
+</para>
+
+</directive>
+
+
+<directive name="ssl_session_cache">
+<syntax>
+    <literal>off</literal> |
+    <literal>none</literal> |
+    [<literal>builtin</literal>[:<value>размер</value>]]
+    [<literal>shared</literal>:<value>название</value>:<value>размер</value>]</syntax>
+<default>none</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Задаёт тип и размеры кэшей для хранения параметров сессий.
+Тип кэша может быть следующим:
+<list type="tag">
+
+<tag-name><literal>off</literal></tag-name>
+<tag-desc>
+жёсткое запрещение использования кэша сессий:
+nginx явно сообщает клиенту, что сессии не могут использоваться повторно.
+</tag-desc>
+
+<tag-name><literal>none</literal></tag-name>
+<tag-desc>
+мягкое запрещение использования кэша сессий:
+nginx сообщает клиенту, что сессии могут использоваться повторно, но
+на самом деле не хранит параметры сессии в кэше.
+</tag-desc>
+
+<tag-name><literal>builtin</literal></tag-name>
+<tag-desc>
+встроенный в OpenSSL кэш, используется в рамках только одного рабочего процесса.
+Размер кэша задаётся в сессиях.
+Если размер не задан, то он равен 20480 сессиям.
+Использование встроенного кэша может вести к фрагментации памяти.
+</tag-desc>
+
+<tag-name><literal>shared</literal></tag-name>
+<tag-desc>
+кэш, разделяемый между всеми рабочими процессами.
+Размер кэша задаётся в байтах, в 1 мегабайт может поместиться
+около 4000 сессий.
+У каждого разделяемого кэша должно быть произвольное название.
+Кэш с одинаковым названием может использоваться в нескольких
+серверах.
+</tag-desc>
+
+</list>
+</para>
+
+<para>
+Можно использовать одновременно оба типа кэша, например:
+<example>
+ssl_session_cache builtin:1000 shared:SSL:10m;
+</example>
+однако использование только разделяемого кэша без встроенного должно
+быть более эффективным.
+</para>
+
+</directive>
+
+
+<directive name="ssl_session_ticket_key">
+<syntax><value>файл</value></syntax>
+<default/>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Задаёт <value>файл</value> с секретным ключом, применяемым при шифровании и
+расшифровании TLS session tickets.
+Директива необходима, если один и тот же ключ нужно использовать
+на нескольких серверах.
+По умолчанию используется случайно сгенерированный ключ.
+</para>
+
+<para>
+Если указано несколько ключей, то только первый ключ
+используется для шифрования TLS session tickets.
+Это позволяет настроить ротацию ключей, например:
+<example>
+ssl_session_ticket_key current.key;
+ssl_session_ticket_key previous.key;
+</example>
+</para>
+
+<para>
+<value>Файл</value> должен содержать 48 байт случайных данных и может быть
+создан следующей командой:
+<example>
+openssl rand 48 > ticket.key
+</example>
+</para>
+
+</directive>
+
+
+<directive name="ssl_session_tickets">
+<syntax><literal>on</literal> | <literal>off</literal></syntax>
+<default>on</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Разрешает или запрещает возобновление сессий при помощи
+<link url="http://tools.ietf.org/html/rfc5077">TLS session tickets</link>.
+</para>
+
+</directive>
+
+
+<directive name="ssl_session_timeout">
+<syntax><value>время</value></syntax>
+<default>5m</default>
+<context>stream</context>
+<context>server</context>
+
+<para>
+Задаёт время, в течение которого клиент может повторно
+использовать параметры сессии, хранящейся в кэше.
+</para>
+
+</directive>
+
+</section>
+
+</module>