Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 3: configurar el servidor web
Actualice la configuración de software del servidor web para utilizar el certificado HTTPS y la correspondiente clave privada PEM falsa que ha creado en el paso anterior. Recuerde hacer una copia de seguridad de sus certificados y claves existentes antes de empezar. De este modo, concluirá la configuración del software del servidor web de Linux para la descarga SSL/TLS con AWS CloudHSM.
Complete los pasos indicados en una de las siguientes secciones.
Configuración del servidor web NGINX
Use esta sección para configurar NGINX en las plataformas compatibles.
Para actualizar la configuración del servidor web para NGINX
-
Conéctese a su instancia de cliente.
-
Ejecute el siguiente comando para crear los directorios necesarios para el certificado del servidor web y la clave privada PEM falsa.
$
sudo mkdir -p /etc/pki/nginx/private
-
Ejecute el siguiente comando para copiar su certificado de servidor web en la ubicación necesaria. Sustituya
<web_server.crt>
por el nombre del certificado de servidor web.$
sudo cp
<web_server.crt>
/etc/pki/nginx/server.crt -
Ejecute el siguiente comando para copiar la clave privada PEM falsa en la ubicación necesaria. Reemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa.$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/nginx/private/server.key -
Ejecute el siguiente comando para cambiar la propiedad de estos archivos para que el usuario denominado nginx pueda leerlos.
$
sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
-
Ejecute el siguiente comando para hacer una copia de seguridad del archivo
/etc/nginx/nginx.conf
.$
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
-
Actualizar la configuración de NGINX
nota
Cada clúster puede soportar un máximo de 1000 procesos de trabajo de NGINX en todos los servidores web de NGINX.
- Amazon Linux
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:-
Si usa SDK 3 de cliente
ssl_engine cloudhsm; env n3fips_password;
-
Si usa SDK 5 de cliente
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Amazon Linux 2
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:-
Si usa SDK 3 de cliente
ssl_engine cloudhsm; env n3fips_password;
-
Si usa SDK 5 de cliente
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 7
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:-
Si usa SDK 3 de cliente
ssl_engine cloudhsm; env n3fips_password;
-
Si usa SDK 5 de cliente
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 8
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Red Hat 7
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:-
Si usa SDK 3 de cliente
ssl_engine cloudhsm; env n3fips_password;
-
Si usa SDK 5 de cliente
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Red Hat 8
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 16.04 LTS
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:ssl_engine cloudhsm; env n3fips_password;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 18.04 LTS
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 20.04 LTS
-
Utilice un editor de texto para editar el archivo
/etc/nginx/nginx.conf
. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Agregue lo siguiente a la sección TLS del archivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
Guarde el archivo.
-
Haga una copia de seguridad del archivo de configuración
systemd
y, a continuación, establezca la ruta deEnvironmentFile
.- Amazon Linux
-
No hay que hacer nada.
- Amazon Linux 2
-
-
Haga una copia de seguridad del archivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra el archivo
/lib/systemd/system/nginx.service
en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
No hay que hacer nada.
- CentOS 8
-
-
Haga una copia de seguridad del archivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra el archivo
/lib/systemd/system/nginx.service
en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
No hay que hacer nada.
- Red Hat 8
-
-
Haga una copia de seguridad del archivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra el archivo
/lib/systemd/system/nginx.service
en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
Haga una copia de seguridad del archivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra el archivo
/lib/systemd/system/nginx.service
en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
Haga una copia de seguridad del archivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra el archivo
/lib/systemd/system/nginx.service
en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
Haga una copia de seguridad del archivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra el archivo
/lib/systemd/system/nginx.service
en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Compruebe si existe el archivo
/etc/sysconfig/nginx
y, a continuación, realice una de las operaciones siguientes:-
Si el archivo existe, haga una copia de seguridad del mismo ejecutando el siguiente comando:
$
sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
-
Si el archivo no existe, abra un editor de texto y, a continuación, cree un archivo denominado
nginx
en la carpeta/etc/sysconfig/
.
-
-
Configure el entorno NGINX.
nota
El SDK 5 de cliente introduce la variable de entorno
CLOUDHSM_PIN
para almacenar las credenciales del CU.- Amazon Linux
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
-
- Amazon Linux 2
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
-
- CentOS 7
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
-
- CentOS 8
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
- Red Hat 7
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
-
- Red Hat 8
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
- Ubuntu 16.04 LTS
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):n3fips_password=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
- Ubuntu 18.04 LTS
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
- Ubuntu 20.04 LTS
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.Guarde el archivo.
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Inicie el servidor web NGINX.
- Amazon Linux
-
Abra el archivo
/etc/sysconfig/nginx
en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):$
sudo service nginx start
- Amazon Linux 2
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- CentOS 7
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- CentOS 8
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- Red Hat 7
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- Red Hat 8
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- Ubuntu 16.04 LTS
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- Ubuntu 18.04 LTS
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- Ubuntu 20.04 LTS
-
Detención de cualquier proceso de NGINX en ejecución
$
sudo systemctl stop nginx
Recarga de la configuración
systemd
para incluir los últimos cambios$
sudo systemctl daemon-reload
Inicio del proceso de NGINX
$
sudo systemctl start nginx
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
(Opcional) Configure su plataforma para iniciar NGINX en el arranque.
- Amazon Linux
-
$
sudo chkconfig nginx on
- Amazon Linux 2
-
$
sudo systemctl enable nginx
- CentOS 7
-
No hay que hacer nada.
- CentOS 8
-
$
sudo systemctl enable nginx
- Red Hat 7
-
No hay que hacer nada.
- Red Hat 8
-
$
sudo systemctl enable nginx
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
Después de actualizar la configuración del servidor web, vaya a Paso 4: habilitar el tráfico HTTPS y verificar el certificado.
Configuración del servidor web Apache
Use esta sección para configurar Apache en las plataformas compatibles.
Para actualizar la configuración del servidor web para Apache
-
Conéctese a su instancia de cliente de Amazon EC2.
-
Defina las ubicaciones predeterminadas de los certificados y las claves privadas de su plataforma.
- Amazon Linux
-
En el archivo
/etc/httpd/conf.d/ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Amazon Linux 2
-
En el archivo
/etc/httpd/conf.d/ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 7
-
En el archivo
/etc/httpd/conf.d/ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 8
-
En el archivo
/etc/httpd/conf.d/ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 7
-
En el archivo
/etc/httpd/conf.d/ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 8
-
En el archivo
/etc/httpd/conf.d/ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Ubuntu 16.04 LTS
-
En el archivo
/etc/apache2/sites-available/default-ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 18.04 LTS
-
En el archivo
/etc/apache2/sites-available/default-ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 20.04 LTS
-
En el archivo
/etc/apache2/sites-available/default-ssl.conf
, asegúrese de que existan estos valores:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Copie el certificado de su servidor web en la ubicación requerida según su plataforma.
- Amazon Linux
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - Amazon Linux 2
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - CentOS 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - CentOS 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - Red Hat 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - Red Hat 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSustituya
<web_server.crt>
por el nombre del certificado de servidor web. - Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Copie su clave privada PEM falsa en la ubicación requerida según su plataforma.
- Amazon Linux
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - Amazon Linux 2
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - CentOS 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - CentOS 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - Red Hat 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - Red Hat 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keyReemplace
<web_server_fake_PEM.key>
por el nombre del archivo que contiene la clave privada de PEM falsa. - Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Cambie la propiedad de estos archivos si así lo requiere su plataforma.
- Amazon Linux
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Proporciona permisos de lectura al usuario apache.
- Amazon Linux 2
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Proporciona permisos de lectura al usuario apache.
- CentOS 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Proporciona permisos de lectura al usuario apache.
- CentOS 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Proporciona permisos de lectura al usuario apache.
- Red Hat 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Proporciona permisos de lectura al usuario apache.
- Red Hat 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Proporciona permisos de lectura al usuario apache.
- Ubuntu 16.04 LTS
-
No hay que hacer nada.
- Ubuntu 18.04 LTS
-
No hay que hacer nada.
- Ubuntu 20.04 LTS
-
No hay que hacer nada.
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Configure las directivas de Apache para su plataforma.
- Amazon Linux
-
Localice el archivo SSL para esta plataforma:
/etc/httpd/conf.d/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Guarde el archivo.
- Amazon Linux 2
-
Localice el archivo SSL para esta plataforma:
/etc/httpd/conf.d/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Guarde el archivo.
- CentOS 7
-
Localice el archivo SSL para esta plataforma:
/etc/httpd/conf.d/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Guarde el archivo.
- CentOS 8
-
Localice el archivo SSL para esta plataforma:
/etc/httpd/conf.d/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Guarde el archivo.
- Red Hat 7
-
Localice el archivo SSL para esta plataforma:
/etc/httpd/conf.d/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Guarde el archivo.
- Red Hat 8
-
Localice el archivo SSL para esta plataforma:
/etc/httpd/conf.d/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Guarde el archivo.
- Ubuntu 16.04 LTS
-
Localice el archivo SSL para esta plataforma:
/etc/apache2/mods-available/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Guarde el archivo.
Habilite el módulo SSL y la configuración predeterminada del sitio SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 18.04 LTS
-
Localice el archivo SSL para esta plataforma:
/etc/apache2/mods-available/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Guarde el archivo.
Habilite el módulo SSL y la configuración predeterminada del sitio SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 20.04 LTS
-
Localice el archivo SSL para esta plataforma:
/etc/apache2/mods-available/ssl.conf
Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.
Actualice o introduzca las siguientes directivas con estos valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Guarde el archivo.
Habilite el módulo SSL y la configuración predeterminada del sitio SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Configure un archivo de valores de entorno para su plataforma.
- Amazon Linux
-
No hay que hacer nada. Los valores de entorno se introducen en
/etc/sysconfig/httpd
- Amazon Linux 2
-
Abra el archivo de servicio httpd:
/lib/systemd/system/httpd.service
Añada lo siguiente a la sección
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 7
-
Abra el archivo de servicio httpd:
/lib/systemd/system/httpd.service
Añada lo siguiente a la sección
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 8
-
Abra el archivo de servicio httpd:
/lib/systemd/system/httpd.service
Añada lo siguiente a la sección
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 7
-
Abra el archivo de servicio httpd:
/lib/systemd/system/httpd.service
Añada lo siguiente a la sección
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 8
-
Abra el archivo de servicio httpd:
/lib/systemd/system/httpd.service
Añada lo siguiente a la sección
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Ubuntu 16.04 LTS
-
No hay que hacer nada. Los valores de entorno se introducen en
/etc/sysconfig/httpd
- Ubuntu 18.04 LTS
-
No hay que hacer nada. Los valores de entorno se introducen en
/etc/sysconfig/httpd
- Ubuntu 20.04 LTS
-
No hay que hacer nada. Los valores de entorno se introducen en
/etc/sysconfig/httpd
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
En el archivo que almacena las variables de entorno de su plataforma, defina una variable de entorno que contenga las credenciales del usuario de criptografía (CU):
- Amazon Linux
-
Utilice un editor de texto para editar el
/etc/sysconfig/httpd
.-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía. -
- Amazon Linux 2
-
Utilice un editor de texto para editar el
/etc/sysconfig/httpd
.-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía. -
- CentOS 7
-
Utilice un editor de texto para editar el
/etc/sysconfig/httpd
.-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía. -
- CentOS 8
-
Utilice un editor de texto para editar el
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía. - Red Hat 7
-
Utilice un editor de texto para editar el
/etc/sysconfig/httpd
.-
Si usa SDK 3 de cliente
n3fips_password=
<CU user name>
:<password>
-
Si usa SDK 5 de cliente
CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía. -
- Red Hat 8
-
Utilice un editor de texto para editar el
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.nota
El SDK 5 de cliente introduce la variable de entorno
CLOUDHSM_PIN
para almacenar las credenciales del CU. - Ubuntu 16.04 LTS
-
Utilice un editor de texto para editar el
/etc/apache2/envvars
.export n3fips_password=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía. - Ubuntu 18.04 LTS
-
Utilice un editor de texto para editar el
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.nota
El SDK 5 de cliente introduce la variable de entorno
CLOUDHSM_PIN
para almacenar las credenciales del CU. SDK 3 de cliente introduce la variable de entornon3fips_password
para almacenar las credenciales de CU. El SDK 5 de cliente admite ambas variables de entorno, pero recomendamos utilizarCLOUDHSM_PIN
. - Ubuntu 20.04 LTS
-
Utilice un editor de texto para editar el
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Sustituya
<CU user name>
y<password>
por las credenciales del usuario de criptografía.nota
El SDK 5 de cliente introduce la variable de entorno
CLOUDHSM_PIN
para almacenar las credenciales del CU. SDK 3 de cliente introduce la variable de entornon3fips_password
para almacenar las credenciales de CU. El SDK 5 de cliente admite ambas variables de entorno, pero recomendamos utilizarCLOUDHSM_PIN
. - Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
Inicie el servidor web Apache.
- Amazon Linux
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Ubuntu 16.04 LTS
-
$
sudo service apache2 start
- Ubuntu 18.04 LTS
-
$
sudo service apache2 start
- Ubuntu 20.04 LTS
-
$
sudo service apache2 start
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
-
(Opcional) Configure su plataforma para iniciar Apache en el arranque.
- Amazon Linux
-
$
sudo chkconfig httpd on
- Amazon Linux 2
-
$
sudo chkconfig httpd on
- CentOS 7
-
$
sudo chkconfig httpd on
- CentOS 8
-
$
systemctl enable httpd
- Red Hat 7
-
$
sudo chkconfig httpd on
- Red Hat 8
-
$
systemctl enable httpd
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 22.04 LTS
-
La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
Después de actualizar la configuración del servidor web, vaya a Paso 4: habilitar el tráfico HTTPS y verificar el certificado.