Configuración del servidor web NGINX Configuración del servidor web Apache

Paso 3: configurar el servidor web

Actualice la configuración de software del servidor web para utilizar el certificado HTTPS y la correspondiente clave privada PEM falsa que ha creado en el paso anterior. Recuerde hacer una copia de seguridad de sus certificados y claves existentes antes de empezar. De este modo, concluirá la configuración del software del servidor web de Linux para la descarga SSL/TLS con AWS CloudHSM.

Complete los pasos indicados en una de las siguientes secciones.

Configuración del servidor web NGINX

Use esta sección para configurar NGINX en las plataformas compatibles.

Para actualizar la configuración del servidor web para NGINX

Conéctese a su instancia de cliente.
Ejecute el siguiente comando para crear los directorios necesarios para el certificado del servidor web y la clave privada PEM falsa.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Ejecute el siguiente comando para copiar su certificado de servidor web en la ubicación necesaria. Sustituya <web_server.crt> por el nombre del certificado de servidor web.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Ejecute el siguiente comando para copiar la clave privada PEM falsa en la ubicación necesaria. Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/nginx/private/server.key
```
Ejecute el siguiente comando para cambiar la propiedad de estos archivos para que el usuario denominado nginx pueda leerlos.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Ejecute el siguiente comando para hacer una copia de seguridad del archivo /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Actualizar la configuración de NGINX

nota

Cada clúster puede soportar un máximo de 1000 procesos de trabajo de NGINX en todos los servidores web de NGINX.

Amazon Linux

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:

Si usa SDK 3 de cliente


ssl_engine cloudhsm;
env n3fips_password;

Si usa SDK 5 de cliente
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Amazon Linux 2

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:

Si usa SDK 3 de cliente


ssl_engine cloudhsm;
env n3fips_password;

Si usa SDK 5 de cliente
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 7

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:

Si usa SDK 3 de cliente


ssl_engine cloudhsm;
env n3fips_password;

Si usa SDK 5 de cliente
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.    
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 8

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 7

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:

Si usa SDK 3 de cliente


ssl_engine cloudhsm;
env n3fips_password;

Si usa SDK 5 de cliente
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 8

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Ubuntu 16.04 LTS

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:


ssl_engine cloudhsm;
    env n3fips_password;

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 18.04 LTS

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 20.04 LTS

Utilice un editor de texto para editar el archivo /etc/nginx/nginx.conf. Esto requiere permisos de raíz de Linux. En la parte superior del archivo, añada la siguiente línea:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Agregue lo siguiente a la sección TLS del archivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

Guarde el archivo.

Haga una copia de seguridad del archivo de configuración systemd y, a continuación, establezca la ruta de EnvironmentFile.
Amazon Linux

No hay que hacer nada.

Amazon Linux 2
Haga una copia de seguridad del archivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra el archivo /lib/systemd/system/nginx.service en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:

EnvironmentFile=/etc/sysconfig/nginx
CentOS 7

No hay que hacer nada.

CentOS 8
Haga una copia de seguridad del archivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra el archivo /lib/systemd/system/nginx.service en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:

EnvironmentFile=/etc/sysconfig/nginx
Red Hat 7

No hay que hacer nada.

Red Hat 8
Haga una copia de seguridad del archivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra el archivo /lib/systemd/system/nginx.service en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 16.04
Haga una copia de seguridad del archivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra el archivo /lib/systemd/system/nginx.service en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 18.04
Haga una copia de seguridad del archivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra el archivo /lib/systemd/system/nginx.service en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 20.04 LTS
Haga una copia de seguridad del archivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra el archivo /lib/systemd/system/nginx.service en un editor de texto y, a continuación, en la sección [Service], añada la siguiente ruta:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
Compruebe si existe el archivo /etc/sysconfig/nginx y, a continuación, realice una de las operaciones siguientes:
- Si el archivo existe, haga una copia de seguridad del mismo ejecutando el siguiente comando:
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
- Si el archivo no existe, abra un editor de texto y, a continuación, cree un archivo denominado nginx en la carpeta /etc/sysconfig/.
Configure el entorno NGINX.

nota
El SDK 5 de cliente introduce la variable de entorno CLOUDHSM_PIN para almacenar las credenciales del CU.
Amazon Linux
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
Amazon Linux 2
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
CentOS 7
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
CentOS 8
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
Red Hat 7
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
Red Hat 8
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
Ubuntu 16.04 LTS
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
```
n3fips_password=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
Ubuntu 18.04 LTS
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
Ubuntu 20.04 LTS
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

Guarde el archivo.
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
Inicie el servidor web NGINX.
Amazon Linux
Abra el archivo /etc/sysconfig/nginx en un editor de texto. Esto requiere permisos de raíz de Linux. Añada las credenciales del usuario de criptografía (CU):
```
$ sudo service nginx start
```
Amazon Linux 2
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
CentOS 7
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
CentOS 8
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
Red Hat 7
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
Red Hat 8
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 16.04 LTS
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 18.04 LTS
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 20.04 LTS
Detención de cualquier proceso de NGINX en ejecución
```
$ sudo systemctl stop nginx
```
Recarga de la configuración systemd para incluir los últimos cambios
```
$ sudo systemctl daemon-reload
```
Inicio del proceso de NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
(Opcional) Configure su plataforma para iniciar NGINX en el arranque.
Amazon Linux
```
$ sudo chkconfig nginx on
```
Amazon Linux 2
```
$ sudo systemctl enable nginx
```
CentOS 7

No hay que hacer nada.

CentOS 8
```
$ sudo systemctl enable nginx
```
Red Hat 7

No hay que hacer nada.

Red Hat 8
```
$ sudo systemctl enable nginx
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

Después de actualizar la configuración del servidor web, vaya a Paso 4: habilitar el tráfico HTTPS y verificar el certificado.

Configuración del servidor web Apache

Use esta sección para configurar Apache en las plataformas compatibles.

Para actualizar la configuración del servidor web para Apache

Conéctese a su instancia de cliente de Amazon EC2.

Defina las ubicaciones predeterminadas de los certificados y las claves privadas de su plataforma.

Amazon Linux

En el archivo /etc/httpd/conf.d/ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Amazon Linux 2

En el archivo /etc/httpd/conf.d/ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 7

En el archivo /etc/httpd/conf.d/ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 8

En el archivo /etc/httpd/conf.d/ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 7

En el archivo /etc/httpd/conf.d/ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 8

En el archivo /etc/httpd/conf.d/ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Ubuntu 16.04 LTS

En el archivo /etc/apache2/sites-available/default-ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 18.04 LTS

En el archivo /etc/apache2/sites-available/default-ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 20.04 LTS

En el archivo /etc/apache2/sites-available/default-ssl.conf, asegúrese de que existan estos valores:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

Copie el certificado de su servidor web en la ubicación requerida según su plataforma.
Amazon Linux
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
Amazon Linux 2
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
CentOS 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
CentOS 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
Red Hat 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
Red Hat 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Sustituya <web_server.crt> por el nombre del certificado de servidor web.
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
Copie su clave privada PEM falsa en la ubicación requerida según su plataforma.
Amazon Linux
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
Amazon Linux 2
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
CentOS 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
CentOS 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
Red Hat 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
Red Hat 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Reemplace <web_server_fake_PEM.key> por el nombre del archivo que contiene la clave privada de PEM falsa.
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
Cambie la propiedad de estos archivos si así lo requiere su plataforma.
Amazon Linux
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Proporciona permisos de lectura al usuario apache.
Amazon Linux 2
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Proporciona permisos de lectura al usuario apache.
CentOS 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Proporciona permisos de lectura al usuario apache.
CentOS 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Proporciona permisos de lectura al usuario apache.
Red Hat 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Proporciona permisos de lectura al usuario apache.
Red Hat 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Proporciona permisos de lectura al usuario apache.
Ubuntu 16.04 LTS

No hay que hacer nada.

Ubuntu 18.04 LTS

No hay que hacer nada.

Ubuntu 20.04 LTS

No hay que hacer nada.

Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

Configure las directivas de Apache para su plataforma.

Amazon Linux

Localice el archivo SSL para esta plataforma:


/etc/httpd/conf.d/ssl.conf

Este archivo contiene las directivas de Apache que definen el funcionamiento del servidor. Las directivas se muestran a la izquierda, seguidas de un valor. Utilice un editor de texto para editar el archivo. Esto requiere permisos de raíz de Linux.

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Guarde el archivo.

Amazon Linux 2

Localice el archivo SSL para esta plataforma:


/etc/httpd/conf.d/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Guarde el archivo.

CentOS 7

Localice el archivo SSL para esta plataforma:


/etc/httpd/conf.d/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Guarde el archivo.

CentOS 8

Localice el archivo SSL para esta plataforma:


/etc/httpd/conf.d/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Guarde el archivo.

Red Hat 7

Localice el archivo SSL para esta plataforma:


/etc/httpd/conf.d/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Guarde el archivo.

Red Hat 8

Localice el archivo SSL para esta plataforma:


/etc/httpd/conf.d/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Guarde el archivo.

Ubuntu 16.04 LTS

Localice el archivo SSL para esta plataforma:


/etc/apache2/mods-available/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Guarde el archivo.

Habilite el módulo SSL y la configuración predeterminada del sitio SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 18.04 LTS

Localice el archivo SSL para esta plataforma:


/etc/apache2/mods-available/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Guarde el archivo.

Habilite el módulo SSL y la configuración predeterminada del sitio SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 20.04 LTS

Localice el archivo SSL para esta plataforma:


/etc/apache2/mods-available/ssl.conf

Actualice o introduzca las siguientes directivas con estos valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Guarde el archivo.

Habilite el módulo SSL y la configuración predeterminada del sitio SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

Configure un archivo de valores de entorno para su plataforma.
Amazon Linux

No hay que hacer nada. Los valores de entorno se introducen en /etc/sysconfig/httpd

Amazon Linux 2
Abra el archivo de servicio httpd:
```
/lib/systemd/system/httpd.service
```
Añada lo siguiente a la sección [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 7
Abra el archivo de servicio httpd:
```
/lib/systemd/system/httpd.service
```
Añada lo siguiente a la sección [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 8
Abra el archivo de servicio httpd:
```
/lib/systemd/system/httpd.service
```
Añada lo siguiente a la sección [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 7
Abra el archivo de servicio httpd:
```
/lib/systemd/system/httpd.service
```
Añada lo siguiente a la sección [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 8
Abra el archivo de servicio httpd:
```
/lib/systemd/system/httpd.service
```
Añada lo siguiente a la sección [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Ubuntu 16.04 LTS

No hay que hacer nada. Los valores de entorno se introducen en /etc/sysconfig/httpd

Ubuntu 18.04 LTS

No hay que hacer nada. Los valores de entorno se introducen en /etc/sysconfig/httpd

Ubuntu 20.04 LTS

No hay que hacer nada. Los valores de entorno se introducen en /etc/sysconfig/httpd

Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.
En el archivo que almacena las variables de entorno de su plataforma, defina una variable de entorno que contenga las credenciales del usuario de criptografía (CU):
Amazon Linux
Utilice un editor de texto para editar el /etc/sysconfig/httpd.
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.
Amazon Linux 2
Utilice un editor de texto para editar el /etc/sysconfig/httpd.
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.
CentOS 7
Utilice un editor de texto para editar el /etc/sysconfig/httpd.
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.
CentOS 8
Utilice un editor de texto para editar el /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.
Red Hat 7
Utilice un editor de texto para editar el /etc/sysconfig/httpd.
Si usa SDK 3 de cliente

n3fips_password=<CU user name>:<password>

Si usa SDK 5 de cliente

CLOUDHSM_PIN=<CU user name>:<password>
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.
Red Hat 8
Utilice un editor de texto para editar el /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

nota
El SDK 5 de cliente introduce la variable de entorno CLOUDHSM_PIN para almacenar las credenciales del CU.
Ubuntu 16.04 LTS
Utilice un editor de texto para editar el /etc/apache2/envvars.
```
export n3fips_password=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.
Ubuntu 18.04 LTS
Utilice un editor de texto para editar el /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

nota
El SDK 5 de cliente introduce la variable de entorno CLOUDHSM_PIN para almacenar las credenciales del CU. SDK 3 de cliente introduce la variable de entorno n3fips_password para almacenar las credenciales de CU. El SDK 5 de cliente admite ambas variables de entorno, pero recomendamos utilizar CLOUDHSM_PIN.
Ubuntu 20.04 LTS
Utilice un editor de texto para editar el /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Sustituya <CU user name> y <password> por las credenciales del usuario de criptografía.

nota
El SDK 5 de cliente introduce la variable de entorno CLOUDHSM_PIN para almacenar las credenciales del CU. SDK 3 de cliente introduce la variable de entorno n3fips_password para almacenar las credenciales de CU. El SDK 5 de cliente admite ambas variables de entorno, pero recomendamos utilizar CLOUDHSM_PIN.
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

Inicie el servidor web Apache.

(Opcional) Configure su plataforma para iniciar Apache en el arranque.
Amazon Linux
```
$ sudo chkconfig httpd on
```
Amazon Linux 2
```
$ sudo chkconfig httpd on
```
CentOS 7
```
$ sudo chkconfig httpd on
```
CentOS 8
```
$ systemctl enable httpd
```
Red Hat 7
```
$ sudo chkconfig httpd on
```
Red Hat 8
```
$ systemctl enable httpd
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 22.04 LTS

La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

Después de actualizar la configuración del servidor web, vaya a Paso 4: habilitar el tráfico HTTPS y verificar el certificado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

2: generar claves

4: verificación