FAQ

Page Discussion History

MailSslModuleJa

インストール | モジュール | アドオン | 設定 | コミュニティ | その他の情報源

Contents

概要

このモジュールは POP3/IMAP/SMTP に対する SSL/TLS サポートを有効にします。設定については基本的に HTTP SSL モジュールに準拠しますが、クライアント証明書の検証はサポートされていません。

ディレクティブ

ssl

Syntax: ssl on | off
Default: off
Context: mail
server
Reference:ssl


この仮想サーバで SSL/TLS のサポートを有効にします。

ssl_certificate

Syntax: ssl_certificate file
Default:
Context: mail
server
Reference:ssl_certificate


Indicates file with the certificate in PEM format for this virtual server. The same file can contain other certificates, and also secret key in PEM format.

ssl_certificate_key

syntax: ssl_certificate_key file

default: cert.pem

context: mail, server

Indicates file with the secret key in PEM format for this virtual server.

ssl_ciphers

syntax: ssl_ciphers file ciphers

default: ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

context: mail, server

Directive describes the permitted ciphers. Ciphers are assigned in the formats supported by OpenSSL.

ssl_prefer_server_ciphers

syntax: ssl_prefer_server_ciphers on | off

default: off

context: mail, server

Requires protocols SSLv3 and TLSv1 server ciphers be preferred over the client's ciphers.

ssl_protocols

syntax: ssl_protocols [SSLv2] [SSLv3] [TLSv1]

default: SSLv2 SSLv3 TLSv1

context: mail, server

Directive enables the protocols indicated.

ssl_session_cache

Syntax: ssl_session_cache off | none | [ builtin [: size ]] [ shared : name : size ]
Default: none
Context: mail
server
Reference:ssl_session_cache


このディレクティブは SSL セッションを格納するキャッシュの形式およびサイズを指定します。
キャッシュの形式は次の通りです:

  • off -- セッションキャッシュの利用は明確に禁止される。nginx はクライアントに対してセッションの再利用はしないことを通知する
  • none -- セッションキャッシュの利用は暗黙のうちに行われない。nginx はクライアントに対してセッションの再利用をする可能性のあることを通知するが、実際には行わない
  • builtin -- OpenSSL 内蔵のキャッシュ、一度に 1 ワーカプロセスからのみ利用できる。キャッシュサイズはセッション数で指定する
  • shared -- キャッシュはすべてのワーカプロセス間で共有される。キャッシュサイズはバイト単位で指定する。1MB のキャッシュで約 4,000 セッションをサポートする。共有されたキャッシュにはおのおの任意の名前を付与することができる。

両方の形式のキャッシュを同時に指定してもよい。次に例を示す:

ssl_session_cache  builtin:1000  shared:SSL:10m;

builtin を用いずに shared のみを使用したほうが効果的である。

ssl_session_timeout

Syntax: ssl_session_timeout time
Default: 5m
Context: mail
server
Reference:ssl_session_timeout


Assigns the time during which the client can repeatedly use the parameters of the session, which is stored in the cache.

starttls

syntax: starttls on | off | only

default: off

context: mail, server

  • on - permit the use of commands STLS for POP3 and STARTTLS for IMAP/SMTP
  • off - do not allow command STLS/STARTTLS
  • only - announce STLS/STARTTLS support and require that clients use TLS encryption

References