Konfigurasikan server web NGINX Konfigurasikan server web Apache

Langkah 3: Konfigurasikan server web

Perbarui konfigurasi perangkat lunak server web Anda untuk menggunakan sertifikat HTTPS dan kunci privat PEM palsu yang Anda buat di langkah sebelumnya. Ingatlah untuk mencadangkan sertifikat dan kunci yang sudah ada sebelum memulai. Ini akan menyelesaikan pengaturan perangkat lunak server web Linux Anda untuk pembongkaran SSL/TLS dengan AWS CloudHSM.

Menyelesaikan langkah-langkah dari salah satu bagian berikut.

Konfigurasikan server web NGINX

Gunakan bagian ini untuk mengatur konfigurasi NGINX pada platform yang didukung.

Untuk memperbarui konfigurasi server web untuk NGINX

Hubungkan ke instans klien Anda.
Jalankan perintah berikut untuk membuat direktori yang diperlukan untuk sertifikat server web dan kunci privat PEM palsu.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Jalankan perintah berikut untuk menyalin sertifikat server web Anda ke lokasi yang diperlukan. Ganti <web_server.crt> dengan nama sertifikat server web Anda.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Jalankan perintah berikut untuk menyalin kunci privat PEM palsu Anda ke lokasi yang diperlukan. Ganti <web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/nginx/private/server.key
```
Jalankan perintah berikut untuk mengubah kepemilikan file sehingga pengguna bernamanginx dapat membacanya.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Jalankan perintah berikut untuk mencadangkan file /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Perbarui konfigurasi NGINX.

catatan

Setiap klaster dapat mendukung maksimum 1000 proses pekerja NGINX di semua server web NGINX.

Amazon Linux

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:

Jika menggunakan Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Jika menggunakan Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Amazon Linux 2

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:

Jika menggunakan Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Jika menggunakan Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 7

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:

Jika menggunakan Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Jika menggunakan Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.    
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 8

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 7

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:

Jika menggunakan Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Jika menggunakan Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 8

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Ubuntu 16.04 LTS

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:


ssl_engine cloudhsm;
    env n3fips_password;

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 18.04 LTS

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 20.04 LTS

Gunakan editor teks untuk mengedit file /etc/nginx/nginx.conf. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Kemudian tambahkan yang berikut ini ke bagian TLS file:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.

Simpan file tersebut.

Cadangkan file konfigurasi systemd, dan kemudian atur jalur EnvironmentFile.
Amazon Linux

Tidak ada tindakan diperlukan.

Amazon Linux 2
pencadangan nginx.service file.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Buka file /lib/systemd/system/nginx.service dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:

EnvironmentFile=/etc/sysconfig/nginx
CentOS 7

Tidak ada tindakan diperlukan.

CentOS 8
pencadangan nginx.service file.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Buka file /lib/systemd/system/nginx.service dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:

EnvironmentFile=/etc/sysconfig/nginx
Red Hat 7

Tidak ada tindakan diperlukan.

Red Hat 8
pencadangan nginx.service file.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Buka file /lib/systemd/system/nginx.service dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 16.04
pencadangan nginx.service file.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Buka file /lib/systemd/system/nginx.service dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 18.04
pencadangan nginx.service file.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Buka file /lib/systemd/system/nginx.service dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 20.04 LTS
pencadangan nginx.service file.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Buka file /lib/systemd/system/nginx.service dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.
Periksa apakah file /etc/sysconfig/nginx ada, dan lakukan salah satu hal berikut:
- Jika file ada, buat cadangan file dengan menjalankan perintah berikut:
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
- Jika file tidak ada, buka editor teks, dan kemudian membuat file bernama nginx dalam folder /etc/sysconfig/.
Konfigurasikan lingkungan NGINX.

catatan
SDK Klien 5 memperkenalkan CLOUDHSM_PIN variabel lingkungan untuk menyimpan kredensial CU.
Amazon Linux
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
Amazon Linux 2
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
CentOS 7
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
CentOS 8
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
Red Hat 7
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
Red Hat 8
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
Ubuntu 16.04 LTS
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
n3fips_password=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
Ubuntu 18.04 LTS
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
Ubuntu 20.04 LTS
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

Simpan file tersebut.
Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.
Mulai server web NGINX.
Amazon Linux
Buka file /etc/sysconfig/nginx di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):
```
$ sudo service nginx start
```
Amazon Linux 2
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
CentOS 7
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
CentOS 8
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
Red Hat 7
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
Red Hat 8
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 16.04 LTS
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 18.04 LTS
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 20.04 LTS
Hentikan proses NGINX yang sedang berjalan
```
$ sudo systemctl stop nginx
```
Muat ulang systemd konfigurasi untuk mengambil perubahan terbaru
```
$ sudo systemctl daemon-reload
```
Mulai proses NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.
(Opsional) Konfigurasikan platform Anda untuk memulai NGINX saat mulai.
Amazon Linux
```
$ sudo chkconfig nginx on
```
Amazon Linux 2
```
$ sudo systemctl enable nginx
```
CentOS 7

Tidak ada tindakan diperlukan.

CentOS 8
```
$ sudo systemctl enable nginx
```
Red Hat 7

Tidak ada tindakan diperlukan.

Red Hat 8
```
$ sudo systemctl enable nginx
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.

Setelah memperbarui konfigurasi server web, buka Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat.

Konfigurasikan server web Apache

Gunakan bagian ini untuk mengatur konfigurasi Apache pada platform yang didukung.

Untuk memperbarui konfigurasi server web untuk Apache

Hubungkan ke instans klien Amazon EC2 Anda.

Tentukan lokasi default untuk sertifikat dan kunci privat untuk platform Anda.

Amazon Linux

Dalam /etc/httpd/conf.d/ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Amazon Linux 2

Dalam /etc/httpd/conf.d/ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 7

Dalam /etc/httpd/conf.d/ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 8

Dalam /etc/httpd/conf.d/ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 7

Dalam /etc/httpd/conf.d/ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 8

Dalam /etc/httpd/conf.d/ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Ubuntu 16.04 LTS

Dalam /etc/apache2/sites-available/default-ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 18.04 LTS

Dalam /etc/apache2/sites-available/default-ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 20.04 LTS

Dalam /etc/apache2/sites-available/default-ssl.conf file, pastikan nilai-nilai ini ada:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.

Salin sertifikat server web Anda ke lokasi yang diperlukan untuk platform Anda.
Amazon Linux
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
Amazon Linux 2
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
CentOS 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
CentOS 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
Red Hat 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
Red Hat 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Ganti <web_server.crt> dengan nama sertifikat server web Anda.
Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.
Salin kunci privat PEM palsu Anda ke lokasi yang diperlukan untuk platform Anda.
Amazon Linux
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Ganti <web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
Amazon Linux 2
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
CentOS 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
CentOS 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
Red Hat 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
Red Hat 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Ganti<web_server_fake_PEM.key> dengan nama file yang berisi kunci privat PEM Anda yang palsu.
Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.
Ubah kepemilikan file-file ini jika diperlukan oleh platform Anda.
Amazon Linux
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama apache.
Amazon Linux 2
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama apache.
CentOS 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama apache.
CentOS 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama apache.
Red Hat 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama apache.
Red Hat 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Memberikan izin baca kepada pengguna bernama apache.
Ubuntu 16.04 LTS

Tidak ada tindakan diperlukan.

Ubuntu 18.04 LTS

Tidak ada tindakan diperlukan.

Ubuntu 20.04 LTS

Tidak ada tindakan diperlukan.

Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.

Atur konfigurasi arahan Apache untuk platform Anda.

Amazon Linux

Temukan file SSL untuk platform ini:


/etc/httpd/conf.d/ssl.conf

File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Simpan file tersebut.

Amazon Linux 2

Temukan file SSL untuk platform ini:


/etc/httpd/conf.d/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Simpan file tersebut.

CentOS 7

Temukan file SSL untuk platform ini:


/etc/httpd/conf.d/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Simpan file tersebut.

CentOS 8

Temukan file SSL untuk platform ini:


/etc/httpd/conf.d/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Simpan file tersebut.

Red Hat 7

Temukan file SSL untuk platform ini:


/etc/httpd/conf.d/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Simpan file tersebut.

Red Hat 8

Temukan file SSL untuk platform ini:


/etc/httpd/conf.d/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Simpan file tersebut.

Ubuntu 16.04 LTS

Temukan file SSL untuk platform ini:


/etc/apache2/mods-available/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Simpan file tersebut.

Mengaktifkan modul SSL dan konfigurasi situs SSL default:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 18.04 LTS

Temukan file SSL untuk platform ini:


/etc/apache2/mods-available/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Simpan file tersebut.

Mengaktifkan modul SSL dan konfigurasi situs SSL default:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 20.04 LTS

Temukan file SSL untuk platform ini:


/etc/apache2/mods-available/ssl.conf

Perbarui atau masukkan arahan berikut dengan nilai ini:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Simpan file tersebut.

Mengaktifkan modul SSL dan konfigurasi situs SSL default:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.

Atur konfigurasi file nilai lingkungan untuk platform Anda.
Amazon Linux

Tidak ada tindakan diperlukan. Nilai lingkungan masuk /etc/sysconfig/httpd

Amazon Linux 2
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian [Service], tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 7
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian [Service], tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 8
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian [Service], tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 7
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian [Service], tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 8
Buka file layanan httpd:
```
/lib/systemd/system/httpd.service
```
Di bawah bagian [Service], tambahkan berikut ini:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Ubuntu 16.04 LTS

Tidak ada tindakan diperlukan. Nilai lingkungan masuk /etc/sysconfig/httpd

Ubuntu 18.04 LTS

Tidak ada tindakan diperlukan. Nilai lingkungan masuk /etc/sysconfig/httpd

Ubuntu 20.04 LTS

Tidak ada tindakan diperlukan. Nilai lingkungan masuk /etc/sysconfig/httpd

Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.
Dalam file yang menyimpan variabel lingkungan untuk platform Anda, tetapkan variabel lingkungan yang berisi kredensial pengguna kriptografi (CU):
Amazon Linux
Gunakan editor teks untuk mengedit /etc/sysconfig/httpd.
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.
Amazon Linux 2
Gunakan editor teks untuk mengedit /etc/sysconfig/httpd.
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.
CentOS 7
Gunakan editor teks untuk mengedit /etc/sysconfig/httpd.
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.
CentOS 8
Gunakan editor teks untuk mengedit /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.
Red Hat 7
Gunakan editor teks untuk mengedit /etc/sysconfig/httpd.
Jika menggunakan Client SDK 3

n3fips_password=<CU user name>:<password>

Jika menggunakan Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Ganti <CU user name> dan <password> dengan kredensial CU.
Red Hat 8
Gunakan editor teks untuk mengedit /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

catatan
SDK Klien 5 memperkenalkan CLOUDHSM_PIN variabel lingkungan untuk menyimpan kredensial CU.
Ubuntu 16.04 LTS
Gunakan editor teks untuk mengedit /etc/apache2/envvars.
```
export n3fips_password=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.
Ubuntu 18.04 LTS
Gunakan editor teks untuk mengedit /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

catatan
SDK Klien 5 memperkenalkan CLOUDHSM_PIN variabel lingkungan untuk menyimpan kredensial CU. Dalam Klien SDK 3, Anda menyimpan kredensial CU di variabel lingkungan n3fips_password. Klien SDK 5 mendukung kedua variabel lingkungan, namun sebaiknya gunakanCLOUDHSM_PIN.
Ubuntu 20.04 LTS
Gunakan editor teks untuk mengedit /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Ganti <CU user name> dan <password> dengan kredensial CU.

catatan
SDK Klien 5 memperkenalkan CLOUDHSM_PIN variabel lingkungan untuk menyimpan kredensial CU. Dalam Klien SDK 3, Anda menyimpan kredensial CU di variabel lingkungan n3fips_password. Klien SDK 5 mendukung kedua variabel lingkungan, namun sebaiknya gunakanCLOUDHSM_PIN.
Ubuntu 22.04 LTS

Support untuk OpenSSL Dynamic Engine belum tersedia.

Mulai server web Apache.

(Opsional) Atur konfigurasi platform Anda untuk memulai Apache saat mulai.

Setelah memperbarui konfigurasi server web, buka Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

2: Hasilkan kunci

4: Verifikasi