Configurazione del server Web NGINX Configurazione del server Web Apache

Fase 3: configurazione del server Web

È possibile aggiornare la configurazione del software del server Web per utilizzare il certificato HTTPS e la chiave privata PEM fittizia corrispondente creata nella fase precedente. Ricorda di eseguire il backup dei certificati e delle chiavi esistenti prima di iniziare. In questo modo viene completata la configurazione del software del server Web Linux per l'offload SSL/TLS con AWS CloudHSM.

Completa la procedura delineata in una delle seguenti sezioni.

Configurazione del server Web NGINX

Fai riferimento a questa sezione per configurare NGINX sulle piattaforme supportate.

Per aggiornare la configurazione del server Web per NGINX

Effettuare la connessione all'istanza del client.
Eseguire il comando seguente per creare le directory necessarie per il certificato del server Web e la falsa chiave privata PEM.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Eseguire il comando seguente per copiare il certificato del server Web nella posizione richiesta. Sostituire <web_server.crt> con il nome del certificato del server Web.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Eseguire il comando seguente per copiare la falsa chiave privata PEM nella posizione richiesta. Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/nginx/private/server.key
```
Eseguire il comando seguente per modificare la proprietà dei file in modo che l'utente denominato nginx possa leggerli.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Eseguire il comando seguente per effettuare il backup del file /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Aggiornamento della configurazione per NGINX.

Nota

Ciascun cluster può supportare un massimo di 1000 processi di lavoro NGINX su tutti i server web NGINX.

Amazon Linux

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:

Se si utilizza Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se si utilizza Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Amazon Linux 2

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:

Se si utilizza Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se si utilizza Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 7

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:

Se si utilizza Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se si utilizza Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.    
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 8

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 7

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:

Se si utilizza Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se si utilizza Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 8

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Ubuntu 16.04 LTS

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:


ssl_engine cloudhsm;
    env n3fips_password;

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 18.04 LTS

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 20.04 LTS

Usare un editor di testo per modificare il file /etc/nginx/nginx.conf. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Quindi aggiungi quanto segue alla sezione TLS del file:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

Salva il file.

Eseguire il backup del file di configurazione systemd, quindi impostare il percorso EnvironmentFile.
Amazon Linux

Nessuna operazione necessaria.

Amazon Linux 2
Effettuare il backup del file nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Aprire il file /lib/systemd/system/nginx.service in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:

EnvironmentFile=/etc/sysconfig/nginx
CentOS 7

Nessuna operazione necessaria.

CentOS 8
Effettuare il backup del file nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Aprire il file /lib/systemd/system/nginx.service in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:

EnvironmentFile=/etc/sysconfig/nginx
Red Hat 7

Nessuna operazione necessaria.

Red Hat 8
Effettuare il backup del file nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Aprire il file /lib/systemd/system/nginx.service in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 16.04
Effettuare il backup del file nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Aprire il file /lib/systemd/system/nginx.service in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 18.04
Effettuare il backup del file nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Aprire il file /lib/systemd/system/nginx.service in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 20.04 LTS
Effettuare il backup del file nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Aprire il file /lib/systemd/system/nginx.service in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Controllare se il file /etc/sysconfig/nginx esiste, quindi eseguire una delle operazioni seguenti:
- Se il file esiste, effettuare il backup del file eseguendo il seguente comando:
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
- In caso contrario, aprire un editor di testo, quindi creare un file denominato nginx nella cartella /etc/sysconfig/.
Configura l'ambiente NGINX.

Nota
Client SDK 5 introduce la variabile di ambiente CLOUDHSM_PIN per l'archiviazione delle credenziali del CU.
Amazon Linux
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
Amazon Linux 2
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
CentOS 7
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
CentOS 8
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
Red Hat 7
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
Red Hat 8
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
Ubuntu 16.04 LTS
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
```
n3fips_password=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
Ubuntu 18.04 LTS
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
Ubuntu 20.04 LTS
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Salva il file.
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Avviare il server Web NGINX.
Amazon Linux
Apri il file /etc/sysconfig/nginx in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):
```
$ sudo service nginx start
```
Amazon Linux 2
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
CentOS 7
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
CentOS 8
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
Red Hat 7
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
Red Hat 8
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 16.04 LTS
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 18.04 LTS
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 20.04 LTS
Interrompi qualsiasi processo NGINX in esecuzione
```
$ sudo systemctl stop nginx
```
Ricarica la configurazione systemd per implementare le modifiche più recenti
```
$ sudo systemctl daemon-reload
```
Avvia il processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
(Facoltativo) Configura la piattaforma per avviare NGINX all'avvio.
Amazon Linux
```
$ sudo chkconfig nginx on
```
Amazon Linux 2
```
$ sudo systemctl enable nginx
```
CentOS 7

Nessuna operazione necessaria.

CentOS 8
```
$ sudo systemctl enable nginx
```
Red Hat 7

Nessuna operazione necessaria.

Red Hat 8
```
$ sudo systemctl enable nginx
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

Dopo avere aggiornato la configurazione del server Web, vai alla Fase 4: abilitazione del traffico HTTPS e verifica del certificato.

Configurazione del server Web Apache

Fai riferimento a questa sezione per configurare Apache sulle piattaforme supportate.

Per aggiornare la configurazione del server Web per Apache

Esegui la connessione all'istanza Amazon EC2.

Definisci le posizioni predefinite per i certificati e le chiavi private per la piattaforma.

Amazon Linux

Assicurati che nel file /etc/httpd/conf.d/ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Amazon Linux 2

Assicurati che nel file /etc/httpd/conf.d/ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 7

Assicurati che nel file /etc/httpd/conf.d/ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 8

Assicurati che nel file /etc/httpd/conf.d/ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 7

Assicurati che nel file /etc/httpd/conf.d/ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 8

Assicurati che nel file /etc/httpd/conf.d/ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Ubuntu 16.04 LTS

Assicurati che nel file /etc/apache2/sites-available/default-ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 18.04 LTS

Assicurati che nel file /etc/apache2/sites-available/default-ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 20.04 LTS

Assicurati che nel file /etc/apache2/sites-available/default-ssl.conf siano presenti questi valori:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

Copia il certificato del server Web nella posizione richiesta per la piattaforma.
Amazon Linux
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
Amazon Linux 2
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
CentOS 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
CentOS 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
Red Hat 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
Red Hat 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Sostituire <web_server.crt> con il nome del certificato del server Web.
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Copia la tua chiave privata PEM falsa nella posizione richiesta per la piattaforma.
Amazon Linux
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
Amazon Linux 2
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
CentOS 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
CentOS 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
Red Hat 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
Red Hat 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Sostituire <web_server_fake_PEM.key> con il nome del file che contiene la chiave privata PEM falsa.
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Cambia la proprietà di questi file se richiesto dalla piattaforma.
Amazon Linux
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fornisce il permesso di lettura all'utente denominato apache.
Amazon Linux 2
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fornisce il permesso di lettura all'utente denominato apache.
CentOS 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fornisce il permesso di lettura all'utente denominato apache.
CentOS 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fornisce il permesso di lettura all'utente denominato apache.
Red Hat 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fornisce il permesso di lettura all'utente denominato apache.
Red Hat 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Fornisce il permesso di lettura all'utente denominato apache.
Ubuntu 16.04 LTS

Nessuna operazione necessaria.

Ubuntu 18.04 LTS

Nessuna operazione necessaria.

Ubuntu 20.04 LTS

Nessuna operazione necessaria.

Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

Configura le direttive Apache per la piattaforma.

Amazon Linux

Individua il file SSL per questa piattaforma:


/etc/httpd/conf.d/ssl.conf

Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salva il file.

Amazon Linux 2

Individua il file SSL per questa piattaforma:


/etc/httpd/conf.d/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salva il file.

CentOS 7

Individua il file SSL per questa piattaforma:


/etc/httpd/conf.d/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salva il file.

CentOS 8

Individua il file SSL per questa piattaforma:


/etc/httpd/conf.d/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Salva il file.

Red Hat 7

Individua il file SSL per questa piattaforma:


/etc/httpd/conf.d/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salva il file.

Red Hat 8

Individua il file SSL per questa piattaforma:


/etc/httpd/conf.d/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Salva il file.

Ubuntu 16.04 LTS

Individua il file SSL per questa piattaforma:


/etc/apache2/mods-available/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salva il file.

Abilita il modulo SSL e la configurazione predefinita del sito SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 18.04 LTS

Individua il file SSL per questa piattaforma:


/etc/apache2/mods-available/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salva il file.

Abilita il modulo SSL e la configurazione predefinita del sito SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 20.04 LTS

Individua il file SSL per questa piattaforma:


/etc/apache2/mods-available/ssl.conf

Aggiorna o inserisci le seguenti direttive con questi valori:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salva il file.

Abilita il modulo SSL e la configurazione predefinita del sito SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

Configura un file environment-values per la piattaforma.
Amazon Linux

Nessuna operazione necessaria. I valori dell'ambiente vanno in /etc/sysconfig/httpd

Amazon Linux 2
Apri il file di servizio httpd:
```
/lib/systemd/system/httpd.service
```
Aggiungi quanto segue alla sezione [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 7
Apri il file di servizio httpd:
```
/lib/systemd/system/httpd.service
```
Aggiungi quanto segue alla sezione [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 8
Apri il file di servizio httpd:
```
/lib/systemd/system/httpd.service
```
Aggiungi quanto segue alla sezione [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 7
Apri il file di servizio httpd:
```
/lib/systemd/system/httpd.service
```
Aggiungi quanto segue alla sezione [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 8
Apri il file di servizio httpd:
```
/lib/systemd/system/httpd.service
```
Aggiungi quanto segue alla sezione [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Ubuntu 16.04 LTS

Nessuna operazione necessaria. I valori dell'ambiente vanno in /etc/sysconfig/httpd

Ubuntu 18.04 LTS

Nessuna operazione necessaria. I valori dell'ambiente vanno in /etc/sysconfig/httpd

Ubuntu 20.04 LTS

Nessuna operazione necessaria. I valori dell'ambiente vanno in /etc/sysconfig/httpd

Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Imposta una variabile di ambiente contenente le credenziali del crypto user (CU) nel file in cui vengono archiviate le variabili di ambiente per la piattaforma:
Amazon Linux
Utilizza un editor di testo per modificare /etc/sysconfig/httpd.
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.
Amazon Linux 2
Utilizza un editor di testo per modificare /etc/sysconfig/httpd.
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.
CentOS 7
Utilizza un editor di testo per modificare /etc/sysconfig/httpd.
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.
CentOS 8
Utilizza un editor di testo per modificare /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.
Red Hat 7
Utilizza un editor di testo per modificare /etc/sysconfig/httpd.
Se si utilizza Client SDK 3

n3fips_password=<CU user name>:<password>

Se si utilizza Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Sostituisci <CU user name> e <password> con le credenziali del CU.
Red Hat 8
Utilizza un editor di testo per modificare /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Nota
Client SDK 5 introduce la variabile di ambiente CLOUDHSM_PIN per l'archiviazione delle credenziali del CU.
Ubuntu 16.04 LTS
Utilizza un editor di testo per modificare /etc/apache2/envvars.
```
export n3fips_password=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.
Ubuntu 18.04 LTS
Utilizza un editor di testo per modificare /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Nota
Client SDK 5 introduce la variabile di ambiente CLOUDHSM_PIN per l'archiviazione delle credenziali del CU. In Client SDK 3 le credenziali del CU sono archiviate nella variabile di ambiente n3fips_password. Client SDK 5 supporta entrambe le variabili di ambiente, ma si consiglia di utilizzare CLOUDHSM_PIN.
Ubuntu 20.04 LTS
Utilizza un editor di testo per modificare /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Sostituisci <CU user name> e <password> con le credenziali del CU.

Nota
Client SDK 5 introduce la variabile di ambiente CLOUDHSM_PIN per l'archiviazione delle credenziali del CU. In Client SDK 3 le credenziali del CU sono archiviate nella variabile di ambiente n3fips_password. Client SDK 5 supporta entrambe le variabili di ambiente, ma si consiglia di utilizzare CLOUDHSM_PIN.
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

Avviare il server Web Apache.

(Facoltativo) Configura la tua piattaforma per avviare Apache all'avvio.
Amazon Linux
```
$ sudo chkconfig httpd on
```
Amazon Linux 2
```
$ sudo chkconfig httpd on
```
CentOS 7
```
$ sudo chkconfig httpd on
```
CentOS 8
```
$ systemctl enable httpd
```
Red Hat 7
```
$ sudo chkconfig httpd on
```
Red Hat 8
```
$ systemctl enable httpd
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 22.04 LTS

Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

Dopo avere aggiornato la configurazione del server Web, vai alla Fase 4: abilitazione del traffico HTTPS e verifica del certificato.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

2: generazione delle chiavi

4: verifica