-
Notifications
You must be signed in to change notification settings - Fork 50
Expand file tree
/
Copy pathssl.xml
More file actions
347 lines (339 loc) · 10.2 KB
/
ssl.xml
File metadata and controls
347 lines (339 loc) · 10.2 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: 8bc832a464e33122e8129f5a623bd845b69fa7e0 Maintainer: nobody Status: ready -->
<refentry xml:id="context.ssl" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" annotations="verify_info:false" role="stream_context_option">
<refnamediv>
<refname>SSL-Kontext-Optionen</refname>
<refpurpose>Liste der SSL-Kontext-Optionen</refpurpose>
</refnamediv>
<refsect1 role="description">
&reftitle.description;
<para>
Kontextoptionen für die <literal>ssl://</literal> und <literal>tls://</literal>
Übermittlung.
</para>
</refsect1>
<refsect1 role="options"><!-- {{{ -->
&reftitle.options;
<para>
<variablelist>
<varlistentry xml:id="context.ssl.peer-name">
<term>
<parameter>peer_name</parameter>
<type>string</type>
</term>
<listitem>
<para>
Zu verwendender Peer-Name. Wird dieser Wert nicht gesetzt, so wird der
Name anhand des Hostnamen erraten, sobald der Stream geöffnet wird.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.verify-peer">
<term>
<parameter>verify_peer</parameter>
<type>bool</type>
</term>
<listitem>
<para>
Die Überprüfung des verwendeten SSL-Zertifikats ist erforderlich.
</para>
<para>
Standardmäßig &true;.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.verify-peer-name">
<term>
<parameter>verify_peer_name</parameter>
<type>bool</type>
</term>
<listitem>
<para>
Erfordere die Verifikation des Peernamens.
</para>
<para>
Standardmäßig &true;.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.allow-self-signed">
<term>
<parameter>allow_self_signed</parameter>
<type>bool</type>
</term>
<listitem>
<para>
Selbst signifizierte Zerifikate erlauben. Setzt
<link linkend="context.ssl.verify-peer"><parameter>verify_peer</parameter></link>
voraus.
</para>
<para>
Standardmäßig &false;
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.cafile">
<term>
<parameter>cafile</parameter>
<type>string</type>
</term>
<listitem>
<para>
Speicherort der Zertifizierungsstellendatei auf dem lokalen
Dateisystem, welche im Zusammenhang mit der <literal>verify_peer</literal>
Option verwendet werden soll, um die Identität der Gegenstelle zu
authentifizieren.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.capath">
<term>
<parameter>capath</parameter>
<type>string</type>
</term>
<listitem>
<para>
Falls <literal>cafile</literal> nicht angegeben wurde, oder dort das
Zertifikat nicht gefunden wurde, so wird das durch
<literal>capath</literal> angegebene Verzeichnis nach einem passenden
Zertifikat durchsucht. <literal>capath</literal> muss ein korrekt
gehashtes Zertifikatsverzeichnis sein.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.local-cert">
<term>
<parameter>local_cert</parameter>
<type>string</type>
</term>
<listitem>
<para>
Pfad zur lokalen Zertifikatsdatei im Dateisystem. Dies muss eine
im <acronym>PEM</acronym>-Format gespeicherte Datei sein, welche das
Zertifikat und den privaten Schlüssel enthält. Optional kann dies die
Kette an Herausgeberzertifikaten enthalten.
Der private Schlüssel kann ebenfalls in einer eigenen Datei enthalten
sein, die durch <literal>local_pk</literal> angegeben wird.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.local-pk">
<term>
<parameter>local_pk</parameter>
<type>string</type>
</term>
<listitem>
<para>
Pfad zu einer lokalen Datei, die den privaten Schlüssel enthält, falls es
unterschiedliche Dateien für Zertifikate (<literal>local_cert</literal>)
und private Schlüssel gibt.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.passphrase">
<term>
<parameter>passphrase</parameter>
<type>string</type>
</term>
<listitem>
<para>
Passphrase mit der die <literal>local_cert</literal>-Datei
gespeichert wurde.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.verify-depth">
<term>
<parameter>verify_depth</parameter>
<type>int</type>
</term>
<listitem>
<para>
Abbruch, wenn die Zertifikatskette zu tief ist.
</para>
<para>
Standardmäßig keine Prüfung.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.ciphers">
<term>
<parameter>ciphers</parameter>
<type>string</type>
</term>
<listitem>
<para>
Setzt die Liste der verfügbaren Verschlüsselungsverfahrenn. Das Format
dieser Zeichenkette wird in
<link xlink:href="&url.openssl.ciphers;">ciphers(1)</link> beschrieben.
</para>
<para>
Standardmäßig auf <literal>DEFAULT</literal> gesetzt.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.capture-peer-cert">
<term>
<parameter>capture_peer_cert</parameter>
<type>bool</type>
</term>
<listitem>
<para>
Falls dies auf &true; gesetzt ist, so wird die Kontextoption
<literal>peer_certificate</literal> angelegt, welche das Zertifikat der
Gegenstelle enthält.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.capture-peer-cert-chain">
<term>
<parameter>capture_peer_cert_chain</parameter>
<type>bool</type>
</term>
<listitem>
<para>
Falls dies auf &true; gesetzt ist, so wird die Kontextoption
<literal>peer_certificate_chain</literal> angelegt, welche die
Zertifikatskette enthält.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.sni-enabled">
<term>
<parameter>SNI_enabled</parameter>
<type>bool</type>
</term>
<listitem>
<para>
Falls dies auf &true; gesetzt wird, so wird Server Name Indication
eingeschaltet. Die Verwendung von SNI erlaubt die Benutzung von
mehreren Zertifikaten unter der gleichen IP-Adresse.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.disable-compression">
<term>
<parameter>disable_compression</parameter>
<type>bool</type>
</term>
<listitem>
<para>
Wenn dies gesetzt wird, so wird TLS-Komprimierung ausgeschaltet. Dies kann
den CRIME-Angriffsvektor entschärfen.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.peer-fingerprint">
<term>
<parameter>peer_fingerprint</parameter>
<type>string</type> | <type>array</type>
</term>
<listitem>
<para>
Beendet die Verbindung, wenn der Fingerabdruck des entfernten Zertifikats nicht
dem angegebenen Hashwert entspricht.
</para>
<para>
Wird ein <type>String</type> verwendet, so wird der zu verwendende Hashalgorithmus anhand
der Länge der Zeichenkette ermittelt, entweder "md5" (32) oder "sha1" (40).
</para>
<para>
Wird ein <type>Array</type> verwendet, so geben die Schlüsselnamen den Namen des
Hashalgorithmus an, und jeder zugehörige Wert entspricht dem erwarteten Fingerabdruck.
</para>
</listitem>
</varlistentry>
<varlistentry xml:id="context.ssl.security-level">
<term>
<parameter>security_level</parameter>
<type>int</type>
</term>
<listitem>
<para>
Legt die Sicherheitsstufe fest. Falls nicht angegeben, wird die Standard-Sicherheitsstufe der Bibliothek verwendet.
Die Sicherheitsstufen sind in
<link xlink:href="&url.openssl.security-level;">SSL_CTX_get_security_level(3)</link>
beschrieben.
</para>
<para>
Verfügbar von PHP 7.2.0 und OpenSSL 1.1.0 an.
</para>
</listitem>
</varlistentry>
</variablelist>
</para>
</refsect1><!-- }}} -->
<refsect1 role="changelog"><!-- {{{ -->
&reftitle.changelog;
<para>
<informaltable>
<tgroup cols="2">
<thead>
<row>
<entry>&Version;</entry>
<entry>&Description;</entry>
</row>
</thead>
<tbody>
<row>
<entry>7.2.0</entry>
<entry>
<parameter>security_level</parameter> hinzugefügt. Erfordert OpenSSL >= 1.1.0.
</entry>
</row>
</tbody>
</tgroup>
</informaltable>
</para>
</refsect1><!-- }}} -->
<refsect1 role="notes">
&reftitle.notes;
<note>
<simpara>
Weil <literal>ssl://</literal> die den Wrappern
<link linkend="wrappers.http"><literal>https://</literal></link> und
<link linkend="wrappers.ftp"><literal>ftps://</literal></link> zugrunde
liegende Übertragungsschicht ist, gelten alle Optionen, die für
<literal>ssl://</literal> angewendet werden, ebenfalls für
<literal>https://</literal> und <literal>ftps://</literal>.
</simpara>
</note>
<note>
<simpara>
Damit SNI (Server Name Indication) verfügbar ist muss PHP mit OpenSSL 0.9.8j
oder neuer kompiliert sein. Die Konstante
<constant>OPENSSL_TLSEXT_SERVER_NAME</constant> kann zur Prüfung, ob SNI
verfügbar ist, herangezogen werden.
</simpara>
</note>
</refsect1>
<refsect1 role="seealso">
&reftitle.seealso;
<para>
<simplelist>
<member><xref linkend="context.socket" /></member>
</simplelist>
</para>
</refsect1>
</refentry>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->