Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Langkah 3: Konfigurasikan server web
Perbarui konfigurasi perangkat lunak server web Anda untuk menggunakan sertifikat HTTPS dan kunci privat PEM palsu yang Anda buat di langkah sebelumnya. Ingatlah untuk mencadangkan sertifikat dan kunci yang sudah ada sebelum memulai. Ini akan menyelesaikan pengaturan perangkat lunak server web Linux Anda untuk pembongkaran SSL/TLS dengan AWS CloudHSM.
Menyelesaikan langkah-langkah dari salah satu bagian berikut.
Konfigurasikan server web NGINX
Gunakan bagian ini untuk mengatur konfigurasi NGINX pada platform yang didukung.
Untuk memperbarui konfigurasi server web untuk NGINX
-
Hubungkan ke instans klien Anda.
-
Jalankan perintah berikut untuk membuat direktori yang diperlukan untuk sertifikat server web dan kunci privat PEM palsu.
$
sudo mkdir -p /etc/pki/nginx/private
-
Jalankan perintah berikut untuk menyalin sertifikat server web Anda ke lokasi yang diperlukan. Ganti
<web_server.crt>
dengan nama sertifikat server web Anda.$
sudo cp
<web_server.crt>
/etc/pki/nginx/server.crt -
Jalankan perintah berikut untuk menyalin kunci privat PEM palsu Anda ke lokasi yang diperlukan. Ganti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu.$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/nginx/private/server.key -
Jalankan perintah berikut untuk mengubah kepemilikan file sehingga pengguna bernamanginx dapat membacanya.
$
sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
-
Jalankan perintah berikut untuk mencadangkan file
/etc/nginx/nginx.conf
.$
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
-
Perbarui konfigurasi NGINX.
catatan
Setiap klaster dapat mendukung maksimum 1000 proses pekerja NGINX di semua server web NGINX.
- Amazon Linux
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:-
Jika menggunakan Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Jika menggunakan Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Amazon Linux 2
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:-
Jika menggunakan Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Jika menggunakan Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 7
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:-
Jika menggunakan Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Jika menggunakan Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 8
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Red Hat 7
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:-
Jika menggunakan Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Jika menggunakan Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Red Hat 8
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 16.04 LTS
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:ssl_engine cloudhsm; env n3fips_password;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 18.04 LTS
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 20.04 LTS
-
Gunakan editor teks untuk mengedit file
/etc/nginx/nginx.conf
. Ini memerlukan izin root Linux. Di bagian atas file, tambahkan baris berikut:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Kemudian tambahkan yang berikut ini ke bagian TLS file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
Simpan file tersebut.
-
Cadangkan file konfigurasi
systemd
, dan kemudian atur jalurEnvironmentFile
.- Amazon Linux
-
Tidak ada tindakan diperlukan.
- Amazon Linux 2
-
-
pencadangan
nginx.service
file.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Buka file
/lib/systemd/system/nginx.service
dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
Tidak ada tindakan diperlukan.
- CentOS 8
-
-
pencadangan
nginx.service
file.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Buka file
/lib/systemd/system/nginx.service
dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
Tidak ada tindakan diperlukan.
- Red Hat 8
-
-
pencadangan
nginx.service
file.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Buka file
/lib/systemd/system/nginx.service
dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
pencadangan
nginx.service
file.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Buka file
/lib/systemd/system/nginx.service
dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
pencadangan
nginx.service
file.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Buka file
/lib/systemd/system/nginx.service
dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
pencadangan
nginx.service
file.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Buka file
/lib/systemd/system/nginx.service
dalam teks editor, dan kemudian di bawah bagian [Layanan], tambahkan lintasan berikut:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Periksa apakah file
/etc/sysconfig/nginx
ada, dan lakukan salah satu hal berikut:-
Jika file ada, buat cadangan file dengan menjalankan perintah berikut:
$
sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
-
Jika file tidak ada, buka editor teks, dan kemudian membuat file bernama
nginx
dalam folder/etc/sysconfig/
.
-
-
Konfigurasikan lingkungan NGINX.
catatan
SDK Klien 5 memperkenalkan
CLOUDHSM_PIN
variabel lingkungan untuk menyimpan kredensial CU.- Amazon Linux
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
-
- Amazon Linux 2
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
-
- CentOS 7
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
-
- CentOS 8
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
- Red Hat 7
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
-
- Red Hat 8
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
- Ubuntu 16.04 LTS
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):n3fips_password=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
- Ubuntu 18.04 LTS
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
- Ubuntu 20.04 LTS
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.Simpan file tersebut.
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Mulai server web NGINX.
- Amazon Linux
-
Buka file
/etc/sysconfig/nginx
di editor teks. Ini memerlukan izin root Linux. Tambahkan kredensi Pengguna Kriptografi (CU):$
sudo service nginx start
- Amazon Linux 2
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- CentOS 7
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- CentOS 8
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- Red Hat 7
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- Red Hat 8
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- Ubuntu 16.04 LTS
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- Ubuntu 18.04 LTS
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- Ubuntu 20.04 LTS
-
Hentikan proses NGINX yang sedang berjalan
$
sudo systemctl stop nginx
Muat ulang
systemd
konfigurasi untuk mengambil perubahan terbaru$
sudo systemctl daemon-reload
Mulai proses NGINX
$
sudo systemctl start nginx
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
(Opsional) Konfigurasikan platform Anda untuk memulai NGINX saat mulai.
- Amazon Linux
-
$
sudo chkconfig nginx on
- Amazon Linux 2
-
$
sudo systemctl enable nginx
- CentOS 7
-
Tidak ada tindakan diperlukan.
- CentOS 8
-
$
sudo systemctl enable nginx
- Red Hat 7
-
Tidak ada tindakan diperlukan.
- Red Hat 8
-
$
sudo systemctl enable nginx
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
Setelah memperbarui konfigurasi server web, buka Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat.
Konfigurasikan server web Apache
Gunakan bagian ini untuk mengatur konfigurasi Apache pada platform yang didukung.
Untuk memperbarui konfigurasi server web untuk Apache
-
Hubungkan ke instans klien Amazon EC2 Anda.
-
Tentukan lokasi default untuk sertifikat dan kunci privat untuk platform Anda.
- Amazon Linux
-
Dalam
/etc/httpd/conf.d/ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Amazon Linux 2
-
Dalam
/etc/httpd/conf.d/ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 7
-
Dalam
/etc/httpd/conf.d/ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 8
-
Dalam
/etc/httpd/conf.d/ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 7
-
Dalam
/etc/httpd/conf.d/ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 8
-
Dalam
/etc/httpd/conf.d/ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Ubuntu 16.04 LTS
-
Dalam
/etc/apache2/sites-available/default-ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 18.04 LTS
-
Dalam
/etc/apache2/sites-available/default-ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 20.04 LTS
-
Dalam
/etc/apache2/sites-available/default-ssl.conf
file, pastikan nilai-nilai ini ada:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Salin sertifikat server web Anda ke lokasi yang diperlukan untuk platform Anda.
- Amazon Linux
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - Amazon Linux 2
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - CentOS 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - CentOS 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - Red Hat 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - Red Hat 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtGanti
<web_server.crt>
dengan nama sertifikat server web Anda. - Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Salin kunci privat PEM palsu Anda ke lokasi yang diperlukan untuk platform Anda.
- Amazon Linux
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - Amazon Linux 2
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - CentOS 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - CentOS 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - Red Hat 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - Red Hat 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keyGanti
<web_server_fake_PEM.key>
dengan nama file yang berisi kunci privat PEM Anda yang palsu. - Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Ubah kepemilikan file-file ini jika diperlukan oleh platform Anda.
- Amazon Linux
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Memberikan izin baca kepada pengguna bernama apache.
- Amazon Linux 2
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Memberikan izin baca kepada pengguna bernama apache.
- CentOS 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Memberikan izin baca kepada pengguna bernama apache.
- CentOS 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Memberikan izin baca kepada pengguna bernama apache.
- Red Hat 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Memberikan izin baca kepada pengguna bernama apache.
- Red Hat 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Memberikan izin baca kepada pengguna bernama apache.
- Ubuntu 16.04 LTS
-
Tidak ada tindakan diperlukan.
- Ubuntu 18.04 LTS
-
Tidak ada tindakan diperlukan.
- Ubuntu 20.04 LTS
-
Tidak ada tindakan diperlukan.
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Atur konfigurasi arahan Apache untuk platform Anda.
- Amazon Linux
-
Temukan file SSL untuk platform ini:
/etc/httpd/conf.d/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Simpan file tersebut.
- Amazon Linux 2
-
Temukan file SSL untuk platform ini:
/etc/httpd/conf.d/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Simpan file tersebut.
- CentOS 7
-
Temukan file SSL untuk platform ini:
/etc/httpd/conf.d/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Simpan file tersebut.
- CentOS 8
-
Temukan file SSL untuk platform ini:
/etc/httpd/conf.d/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Simpan file tersebut.
- Red Hat 7
-
Temukan file SSL untuk platform ini:
/etc/httpd/conf.d/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Simpan file tersebut.
- Red Hat 8
-
Temukan file SSL untuk platform ini:
/etc/httpd/conf.d/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Simpan file tersebut.
- Ubuntu 16.04 LTS
-
Temukan file SSL untuk platform ini:
/etc/apache2/mods-available/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Simpan file tersebut.
Mengaktifkan modul SSL dan konfigurasi situs SSL default:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 18.04 LTS
-
Temukan file SSL untuk platform ini:
/etc/apache2/mods-available/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Simpan file tersebut.
Mengaktifkan modul SSL dan konfigurasi situs SSL default:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 20.04 LTS
-
Temukan file SSL untuk platform ini:
/etc/apache2/mods-available/ssl.conf
File ini berisi arahan Apache yang menentukan bagaimana server Anda harus berjalan. Arahan muncul di sebelah kiri, diikuti dengan nilai. Gunakan editor teks untuk mengedit file ini. Ini memerlukan izin root Linux.
Perbarui atau masukkan arahan berikut dengan nilai ini:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Simpan file tersebut.
Mengaktifkan modul SSL dan konfigurasi situs SSL default:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Atur konfigurasi file nilai lingkungan untuk platform Anda.
- Amazon Linux
-
Tidak ada tindakan diperlukan. Nilai lingkungan masuk
/etc/sysconfig/httpd
- Amazon Linux 2
-
Buka file layanan httpd:
/lib/systemd/system/httpd.service
Di bawah bagian
[Service]
, tambahkan berikut ini:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 7
-
Buka file layanan httpd:
/lib/systemd/system/httpd.service
Di bawah bagian
[Service]
, tambahkan berikut ini:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 8
-
Buka file layanan httpd:
/lib/systemd/system/httpd.service
Di bawah bagian
[Service]
, tambahkan berikut ini:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 7
-
Buka file layanan httpd:
/lib/systemd/system/httpd.service
Di bawah bagian
[Service]
, tambahkan berikut ini:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 8
-
Buka file layanan httpd:
/lib/systemd/system/httpd.service
Di bawah bagian
[Service]
, tambahkan berikut ini:EnvironmentFile=/etc/sysconfig/httpd
- Ubuntu 16.04 LTS
-
Tidak ada tindakan diperlukan. Nilai lingkungan masuk
/etc/sysconfig/httpd
- Ubuntu 18.04 LTS
-
Tidak ada tindakan diperlukan. Nilai lingkungan masuk
/etc/sysconfig/httpd
- Ubuntu 20.04 LTS
-
Tidak ada tindakan diperlukan. Nilai lingkungan masuk
/etc/sysconfig/httpd
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Dalam file yang menyimpan variabel lingkungan untuk platform Anda, tetapkan variabel lingkungan yang berisi kredensial pengguna kriptografi (CU):
- Amazon Linux
-
Gunakan editor teks untuk mengedit
/etc/sysconfig/httpd
.-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU. -
- Amazon Linux 2
-
Gunakan editor teks untuk mengedit
/etc/sysconfig/httpd
.-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU. -
- CentOS 7
-
Gunakan editor teks untuk mengedit
/etc/sysconfig/httpd
.-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU. -
- CentOS 8
-
Gunakan editor teks untuk mengedit
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU. - Red Hat 7
-
Gunakan editor teks untuk mengedit
/etc/sysconfig/httpd
.-
Jika menggunakan Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Jika menggunakan Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU. -
- Red Hat 8
-
Gunakan editor teks untuk mengedit
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.catatan
SDK Klien 5 memperkenalkan
CLOUDHSM_PIN
variabel lingkungan untuk menyimpan kredensial CU. - Ubuntu 16.04 LTS
-
Gunakan editor teks untuk mengedit
/etc/apache2/envvars
.export n3fips_password=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU. - Ubuntu 18.04 LTS
-
Gunakan editor teks untuk mengedit
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.catatan
SDK Klien 5 memperkenalkan
CLOUDHSM_PIN
variabel lingkungan untuk menyimpan kredensial CU. Dalam Klien SDK 3, Anda menyimpan kredensial CU di variabel lingkungann3fips_password
. Klien SDK 5 mendukung kedua variabel lingkungan, namun sebaiknya gunakanCLOUDHSM_PIN
. - Ubuntu 20.04 LTS
-
Gunakan editor teks untuk mengedit
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Ganti
<CU user name>
dan<password>
dengan kredensial CU.catatan
SDK Klien 5 memperkenalkan
CLOUDHSM_PIN
variabel lingkungan untuk menyimpan kredensial CU. Dalam Klien SDK 3, Anda menyimpan kredensial CU di variabel lingkungann3fips_password
. Klien SDK 5 mendukung kedua variabel lingkungan, namun sebaiknya gunakanCLOUDHSM_PIN
. - Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
Mulai server web Apache.
- Amazon Linux
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Ubuntu 16.04 LTS
-
$
sudo service apache2 start
- Ubuntu 18.04 LTS
-
$
sudo service apache2 start
- Ubuntu 20.04 LTS
-
$
sudo service apache2 start
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
-
(Opsional) Atur konfigurasi platform Anda untuk memulai Apache saat mulai.
- Amazon Linux
-
$
sudo chkconfig httpd on
- Amazon Linux 2
-
$
sudo chkconfig httpd on
- CentOS 7
-
$
sudo chkconfig httpd on
- CentOS 8
-
$
systemctl enable httpd
- Red Hat 7
-
$
sudo chkconfig httpd on
- Red Hat 8
-
$
systemctl enable httpd
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 22.04 LTS
-
Support untuk OpenSSL Dynamic Engine belum tersedia.
Setelah memperbarui konfigurasi server web, buka Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat.