Configuration du serveur Web NGINX Configurer le serveur web Apache

Étape 3 : Configurer le serveur web

Mettez à jour votre configuration de logiciel serveur web pour utiliser le certificat HTTPS et la fausse clé privée PEM correspondante que vous avez créée à l'étape précédente. N'oubliez pas de sauvegarder vos certificats et clés existants avant de commencer. Cela permettra de terminer la configuration de votre logiciel serveur web Linux pour le déchargement SSL/TLS avec AWS CloudHSM.

Complétez les étapes de l'une des sections suivantes.

Configuration du serveur Web NGINX

Utilisez cette section pour configurer NGINX sur les plateformes prises en charge.

Pour mettre à jour la configuration de serveur web pour NGINX

Connectez-vous à votre instance client .
Exécutez la commande suivante pour créer les répertoires requis pour le certificat de serveur web et la fausse clé privée PEM.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Exécutez la commande suivante pour copier votre certificat de serveur web à l'emplacement requis. Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Exécutez la commande suivante pour copier votre fausse clé privée PEM à l'emplacement requis. Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/nginx/private/server.key
```
Exécutez la commande suivante pour modifier la propriété des fichiers afin que l'utilisateur nommé nginx puisse les lire.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Exécutez la commande suivante pour sauvegarder le fichier /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Mise à jour de la configuration pour NGINX.

Note

Chaque cluster peut prendre en charge un maximum de 1 000 processus de travail NGINX sur tous les serveurs Web NGINX.

Amazon Linux

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :

Si vous utilisez le SDK client 3


ssl_engine cloudhsm;
env n3fips_password;

Si vous utilisez le SDK client 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Amazon Linux 2

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :

Si vous utilisez le SDK client 3


ssl_engine cloudhsm;
env n3fips_password;

Si vous utilisez le SDK client 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 7

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :

Si vous utilisez le SDK client 3


ssl_engine cloudhsm;
env n3fips_password;

Si vous utilisez le SDK client 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.    
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 8

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 7

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :

Si vous utilisez le SDK client 3


ssl_engine cloudhsm;
env n3fips_password;

Si vous utilisez le SDK client 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 8

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Ubuntu 16.04 LTS

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :


ssl_engine cloudhsm;
    env n3fips_password;

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 18.04 LTS

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 20.04 LTS

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Ensuite, ajoutez ce qui suit à la section TLS du fichier :


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.

Enregistrez le fichier.

Sauvegardez le fichier de configuration systemd, puis définissez le chemin d'accès à EnvironmentFile.
Amazon Linux

Aucune action requise.

Amazon Linux 2
Sauvegardez le fichier nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Ouvrez le fichier /lib/systemd/system/nginx.service dans un éditeur de texte, puis sous la section [Service], ajoutez le chemin d'accès suivant :

EnvironmentFile=/etc/sysconfig/nginx
CentOS 7

Aucune action requise.

CentOS 8
Sauvegardez le fichier nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Ouvrez le fichier /lib/systemd/system/nginx.service dans un éditeur de texte, puis sous la section [Service], ajoutez le chemin d'accès suivant :

EnvironmentFile=/etc/sysconfig/nginx
Red Hat 7

Aucune action requise.

Red Hat 8
Sauvegardez le fichier nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Ouvrez le fichier /lib/systemd/system/nginx.service dans un éditeur de texte, puis sous la section [Service], ajoutez le chemin d'accès suivant :

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 16.04
Sauvegardez le fichier nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Ouvrez le fichier /lib/systemd/system/nginx.service dans un éditeur de texte, puis sous la section [Service], ajoutez le chemin d'accès suivant :

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 18.04
Sauvegardez le fichier nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Ouvrez le fichier /lib/systemd/system/nginx.service dans un éditeur de texte, puis sous la section [Service], ajoutez le chemin d'accès suivant :

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 20.04 LTS
Sauvegardez le fichier nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Ouvrez le fichier /lib/systemd/system/nginx.service dans un éditeur de texte, puis sous la section [Service], ajoutez le chemin d'accès suivant :

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.
Vérifiez si le fichier /etc/sysconfig/nginx existe, puis effectuez l'une des actions suivantes :
- Si le fichier existe, sauvegardez le fichier en exécutant la commande suivante :
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
- Si le fichier n'existe pas, ouvrez un éditeur de texte et créez un fichier nommé nginx dans le dossier /etc/sysconfig/.
Configurez l'environnement NGINX.

Note
Le SDK client 5 introduit la variable d'environnement CLOUDHSM_PIN permettant de stocker les informations d'identification du CU.
Amazon Linux
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
Amazon Linux 2
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
CentOS 7
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
CentOS 8
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
Red Hat 7
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
Red Hat 8
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
Ubuntu 16.04 LTS
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
```
n3fips_password=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
Ubuntu 18.04 LTS
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
Ubuntu 20.04 LTS
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Enregistrez le fichier.
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.
Démarrez le serveur web NGINX.
Amazon Linux
Ouvrez le fichier /etc/sysconfig/nginx dans un éditeur de texte. Ceci nécessite des autorisations racine Linux. Ajoutez les informations d'identification de l'utilisateur de chiffrement (CU) :
```
$ sudo service nginx start
```
Amazon Linux 2
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
CentOS 7
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
CentOS 8
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
Red Hat 7
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
Red Hat 8
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 16.04 LTS
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 18.04 LTS
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 20.04 LTS
Arrêtez tout processus NGINX en cours d'exécution
```
$ sudo systemctl stop nginx
```
Rechargez la configuration systemd pour récupérer les dernières modifications
```
$ sudo systemctl daemon-reload
```
Démarrez le processus NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.
(Facultatif) Configurez votre plateforme pour démarrer NGINX au démarrage.
Amazon Linux
```
$ sudo chkconfig nginx on
```
Amazon Linux 2
```
$ sudo systemctl enable nginx
```
CentOS 7

Aucune action requise.

CentOS 8
```
$ sudo systemctl enable nginx
```
Red Hat 7

Aucune action requise.

Red Hat 8
```
$ sudo systemctl enable nginx
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.

Après que vous avez mis à jour votre configuration de serveur web, accédez à Étape 4 : Activer le trafic HTTPS et vérifier le certificat.

Configurer le serveur web Apache

Utilisez cette section pour configurer Apache sur les plateformes prises en charge.

Pour mettre à jour la configuration de serveur web pour Apache

Connectez-vous à votre instance client EC2 Amazon.
Définissez les emplacements par défaut pour les certificats et les clés privées de votre plateforme.
Amazon Linux
Dans le fichier /etc/httpd/conf.d/ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
```
Amazon Linux 2
Dans le fichier /etc/httpd/conf.d/ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
```
CentOS 7
Dans le fichier /etc/httpd/conf.d/ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
```
CentOS 8
Dans le fichier /etc/httpd/conf.d/ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
```
Red Hat 7
Dans le fichier /etc/httpd/conf.d/ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
```
Red Hat 8
Dans le fichier /etc/httpd/conf.d/ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key
```
Ubuntu 16.04 LTS
Dans le fichier /etc/apache2/sites-available/default-ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key
```
Ubuntu 18.04 LTS
Dans le fichier /etc/apache2/sites-available/default-ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key
```
Ubuntu 20.04 LTS
Dans le fichier /etc/apache2/sites-available/default-ssl.conf, assurez-vous que les valeurs suivantes existent :
```
SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key
```
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.
Copiez le certificat de votre serveur Web à l'emplacement requis pour votre plateforme.
Amazon Linux
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
Amazon Linux 2
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
CentOS 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
CentOS 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
Red Hat 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
Red Hat 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Remplacez <web_server.crt> par le nom de votre certificat de serveur web.
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.
Copiez votre fausse clé privée PEM à l'emplacement requis pour votre plateforme.
Amazon Linux
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
Amazon Linux 2
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
CentOS 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
CentOS 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
Red Hat 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
Red Hat 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Remplacez <web_server_fake_PEM.key> par le nom du fichier qui contient votre fausse clé privée PEM.
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.
Changez le propriétaire de ces fichiers si votre plateforme l'exige.
Amazon Linux
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fournit une autorisation de lecture à l'utilisateur nommé Apache.
Amazon Linux 2
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fournit une autorisation de lecture à l'utilisateur nommé Apache.
CentOS 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fournit une autorisation de lecture à l'utilisateur nommé Apache.
CentOS 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fournit une autorisation de lecture à l'utilisateur nommé Apache.
Red Hat 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fournit une autorisation de lecture à l'utilisateur nommé Apache.
Red Hat 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fournit une autorisation de lecture à l'utilisateur nommé Apache.
Ubuntu 16.04 LTS

Aucune action requise.

Ubuntu 18.04 LTS

Aucune action requise.

Ubuntu 20.04 LTS

Aucune action requise.

Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.

Configurez les directives Apache pour votre plateforme.

Amazon Linux

Localisez le fichier SSL pour cette plateforme :


/etc/httpd/conf.d/ssl.conf

Ce fichier contient les directives Apache qui définissent le mode de fonctionnement de votre serveur. Les directives apparaissent sur la gauche, suivies d'une valeur. Utilisez un éditeur de texte pour modifier ce fichier. Ceci nécessite des autorisations racine Linux.

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Enregistrez le fichier.

Amazon Linux 2

Localisez le fichier SSL pour cette plateforme :


/etc/httpd/conf.d/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Enregistrez le fichier.

CentOS 7

Localisez le fichier SSL pour cette plateforme :


/etc/httpd/conf.d/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Enregistrez le fichier.

CentOS 8

Localisez le fichier SSL pour cette plateforme :


/etc/httpd/conf.d/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Enregistrez le fichier.

Red Hat 7

Localisez le fichier SSL pour cette plateforme :


/etc/httpd/conf.d/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Enregistrez le fichier.

Red Hat 8

Localisez le fichier SSL pour cette plateforme :


/etc/httpd/conf.d/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Enregistrez le fichier.

Ubuntu 16.04 LTS

Localisez le fichier SSL pour cette plateforme :


/etc/apache2/mods-available/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Enregistrez le fichier.

Activez le module SSL et la configuration du site SSL par défaut :


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 18.04 LTS

Localisez le fichier SSL pour cette plateforme :


/etc/apache2/mods-available/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Enregistrez le fichier.

Activez le module SSL et la configuration du site SSL par défaut :


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 20.04 LTS

Localisez le fichier SSL pour cette plateforme :


/etc/apache2/mods-available/ssl.conf

Mettez à jour ou entrez les directives suivantes avec ces valeurs :


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Enregistrez le fichier.

Activez le module SSL et la configuration du site SSL par défaut :


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.

Configurez un fichier de valeurs d'environnement pour votre plateforme.
Amazon Linux

Aucune action requise. Les valeurs environnementales vont dans /etc/sysconfig/httpd

Amazon Linux 2
Ouvrez le fichier de service httpd :
```
/lib/systemd/system/httpd.service
```
Ajoutez le code suivant dans la section [Service] :
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 7
Ouvrez le fichier de service httpd :
```
/lib/systemd/system/httpd.service
```
Ajoutez le code suivant dans la section [Service] :
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 8
Ouvrez le fichier de service httpd :
```
/lib/systemd/system/httpd.service
```
Ajoutez le code suivant dans la section [Service] :
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 7
Ouvrez le fichier de service httpd :
```
/lib/systemd/system/httpd.service
```
Ajoutez le code suivant dans la section [Service] :
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 8
Ouvrez le fichier de service httpd :
```
/lib/systemd/system/httpd.service
```
Ajoutez le code suivant dans la section [Service] :
```
EnvironmentFile=/etc/sysconfig/httpd
```
Ubuntu 16.04 LTS

Aucune action requise. Les valeurs environnementales vont dans /etc/sysconfig/httpd

Ubuntu 18.04 LTS

Aucune action requise. Les valeurs environnementales vont dans /etc/sysconfig/httpd

Ubuntu 20.04 LTS

Aucune action requise. Les valeurs environnementales vont dans /etc/sysconfig/httpd

Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.
Dans le fichier qui stocke les variables d'environnement de votre plateforme, définissez une variable d'environnement contenant les informations d'identification de l'utilisateur de chiffrement (CU) :
Amazon Linux
Utilisez un éditeur de texte pour modifier le /etc/sysconfig/httpd.
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.
Amazon Linux 2
Utilisez un éditeur de texte pour modifier le /etc/sysconfig/httpd.
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.
CentOS 7
Utilisez un éditeur de texte pour modifier le /etc/sysconfig/httpd.
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.
CentOS 8
Utilisez un éditeur de texte pour modifier le /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.
Red Hat 7
Utilisez un éditeur de texte pour modifier le /etc/sysconfig/httpd.
Si vous utilisez le SDK client 3

n3fips_password=<CU user name>:<password>

Si vous utilisez le SDK client 5

CLOUDHSM_PIN=<CU user name>:<password>
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.
Red Hat 8
Utilisez un éditeur de texte pour modifier le /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Note
Le SDK client 5 introduit la variable d'environnement CLOUDHSM_PIN permettant de stocker les informations d'identification du CU.
Ubuntu 16.04 LTS
Utilisez un éditeur de texte pour modifier le /etc/apache2/envvars.
```
export n3fips_password=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.
Ubuntu 18.04 LTS
Utilisez un éditeur de texte pour modifier le /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Note
Le SDK client 5 introduit la variable d'environnement CLOUDHSM_PIN permettant de stocker les informations d'identification du CU. Dans le SDK client 3, vous avez stocké les informations d'identification CU dans la variable d'environnement n3fips_password. Le SDK client 5 prend en charge les deux variables d'environnement, mais nous vous recommandons d’utiliser CLOUDHSM_PIN.
Ubuntu 20.04 LTS
Utilisez un éditeur de texte pour modifier le /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Remplacez <CU user name> et <password> par les informations d'identification de l'utilisateur de chiffrement.

Note
Le SDK client 5 introduit la variable d'environnement CLOUDHSM_PIN permettant de stocker les informations d'identification du CU. Dans le SDK client 3, vous avez stocké les informations d'identification CU dans la variable d'environnement n3fips_password. Le SDK client 5 prend en charge les deux variables d'environnement, mais nous vous recommandons d’utiliser CLOUDHSM_PIN.
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.

Démarrez le serveur web Apache.

(Facultatif) Configurez votre plateforme pour démarrer Apache au démarrage.
Amazon Linux
```
$ sudo chkconfig httpd on
```
Amazon Linux 2
```
$ sudo chkconfig httpd on
```
CentOS 7
```
$ sudo chkconfig httpd on
```
CentOS 8
```
$ systemctl enable httpd
```
Red Hat 7
```
$ sudo chkconfig httpd on
```
Red Hat 8
```
$ systemctl enable httpd
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 22.04 LTS

La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.

Après que vous avez mis à jour votre configuration de serveur web, accédez à Étape 4 : Activer le trafic HTTPS et vérifier le certificat.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

2 : Générer des clés

4 : Vérifier