Documented client certificate validation with OCSP in stream.

Author: y82

xml/en/docs/stream/ngx_stream_ssl_module.xml

@@ -9,7 +9,7 @@
 <module name="Module ngx_stream_ssl_module"
         link="/en/docs/stream/ngx_stream_ssl_module.html"
         lang="en"
-        rev="35">
+        rev="36">
 
 <section id="summary">
 
@@ -384,6 +384,92 @@ Specifies a timeout for the SSL handshake to complete.
 </directive>
 
 
+<directive name="ssl_ocsp">
+<syntax><literal>on</literal> |
+        <literal>off</literal> |
+        <literal>leaf</literal></syntax>
+<default>off</default>
+<context>stream</context>
+<context>server</context>
+<appeared-in>1.27.2</appeared-in>
+
+<para>
+Enables OCSP validation of the client certificate chain.
+The <literal>leaf</literal> parameter
+enables validation of the client certificate only.
+</para>
+
+<para>
+For the OCSP validation to work,
+the <link id="ssl_verify_client"/> directive should be set to
+<literal>on</literal> or <literal>optional</literal>.
+</para>
+
+<para>
+To resolve the OCSP responder hostname,
+the <link doc="ngx_stream_core_module.xml" id="resolver"/> directive
+should also be specified.
+</para>
+
+<para>
+Example:
+<example>
+ssl_verify_client on;
+ssl_ocsp          on;
+resolver          192.0.2.1;
+</example>
+</para>
+
+</directive>
+
+
+<directive name="ssl_ocsp_cache">
+<syntax>
+    <literal>off</literal> |
+    [<literal>shared</literal>:<value>name</value>:<value>size</value>]</syntax>
+<default>off</default>
+<context>stream</context>
+<context>server</context>
+<appeared-in>1.27.2</appeared-in>
+
+<para>
+Sets <literal>name</literal> and <literal>size</literal> of the cache
+that stores client certificates status for OCSP validation.
+The cache is shared between all worker processes.
+A cache with the same name can be used in several virtual servers.
+</para>
+
+<para>
+The <literal>off</literal> parameter prohibits the use of the cache.
+</para>
+
+</directive>
+
+
+<directive name="ssl_ocsp_responder">
+<syntax><value>url</value></syntax>
+<default/>
+<context>stream</context>
+<context>server</context>
+<appeared-in>1.27.2</appeared-in>
+
+<para>
+Overrides the URL of the OCSP responder specified in the
+“<link url="https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.1">Authority
+Information Access</link>” certificate extension
+for <link id="ssl_ocsp">validation</link> of client certificates.
+</para>
+
+<para>
+Only “<literal>http://</literal>” OCSP responders are supported:
+<example>
+ssl_ocsp_responder http://ocsp.example.com/;
+</example>
+</para>
+
+</directive>
+
+
 <directive name="ssl_password_file">
 <syntax><value>file</value></syntax>
 <default/>

xml/ru/docs/stream/ngx_stream_ssl_module.xml

@@ -9,7 +9,7 @@
 <module name="Модуль ngx_stream_ssl_module"
         link="/ru/docs/stream/ngx_stream_ssl_module.html"
         lang="ru"
-        rev="35">
+        rev="36">
 
 <section id="summary">
 
@@ -387,6 +387,94 @@ ssl_ecdh_curve prime256v1:secp384r1;
 </directive>
 
 
+<directive name="ssl_ocsp">
+<syntax><literal>on</literal> |
+        <literal>off</literal> |
+        <literal>leaf</literal></syntax>
+<default>off</default>
+<context>stream</context>
+<context>server</context>
+<appeared-in>1.27.2</appeared-in>
+
+<para>
+Включает проверку OCSP для цепочки клиентских сертификатов.
+Параметр <literal>leaf</literal>
+включает проверку только клиентского сертификата.
+</para>
+
+<para>
+Для работы проверки OCSP
+необходимо дополнительно установить значение директивы
+<link id="ssl_verify_client"/> в
+<literal>on</literal> или <literal>optional</literal>.
+</para>
+
+<para>
+Для преобразования имени хоста OCSP responder’а в адрес необходимо
+дополнительно задать директиву
+<link doc="ngx_stream_core_module.xml" id="resolver"/>.
+</para>
+
+<para>
+Пример:
+<example>
+ssl_verify_client on;
+ssl_ocsp          on;
+resolver          192.0.2.1;
+</example>
+</para>
+
+</directive>
+
+
+<directive name="ssl_ocsp_cache">
+<syntax>
+    <literal>off</literal> |
+    [<literal>shared</literal>:<value>имя</value>:<value>размер</value>]</syntax>
+<default>off</default>
+<context>stream</context>
+<context>server</context>
+<appeared-in>1.27.2</appeared-in>
+
+<para>
+Задаёт <literal>имя</literal> и <literal>размер</literal> кэша,
+который хранит статус клиентских сертификатов для проверки OCSP-ответов.
+Кэш разделяется между всеми рабочими процессами.
+Кэш с одинаковым названием может использоваться в нескольких
+виртуальных серверах.
+</para>
+
+<para>
+Параметр <literal>off</literal> запрещает использование кэша.
+</para>
+
+</directive>
+
+
+<directive name="ssl_ocsp_responder">
+<syntax><value>url</value></syntax>
+<default/>
+<context>stream</context>
+<context>server</context>
+<appeared-in>1.27.2</appeared-in>
+
+<para>
+Переопределяет URL OCSP responder’а, указанный в расширении сертификата
+“<link url="https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.1">Authority
+Information Access</link>”
+для <link id="ssl_ocsp">проверки</link> клиентских сертификатов.
+</para>
+
+<para>
+Поддерживаются только “<literal>http://</literal>” OCSP responder’ы:
+<example>
+ssl_ocsp_responder http://ocsp.example.com/;
+</example>
+</para>
+
+</directive>
+
+
 <directive name="ssl_password_file">
 <syntax><value>файл</value></syntax>
 <default/>