Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 3: configurazione del server Web
È possibile aggiornare la configurazione del software del server Web per utilizzare il certificato HTTPS e la chiave privata PEM fittizia corrispondente creata nella fase precedente. Ricorda di eseguire il backup dei certificati e delle chiavi esistenti prima di iniziare. In questo modo viene completata la configurazione del software del server Web Linux per l'offload SSL/TLS con AWS CloudHSM.
Completa la procedura delineata in una delle seguenti sezioni.
Configurazione del server Web NGINX
Fai riferimento a questa sezione per configurare NGINX sulle piattaforme supportate.
Per aggiornare la configurazione del server Web per NGINX
-
Effettuare la connessione all'istanza del client.
-
Eseguire il comando seguente per creare le directory necessarie per il certificato del server Web e la falsa chiave privata PEM.
$
sudo mkdir -p /etc/pki/nginx/private
-
Eseguire il comando seguente per copiare il certificato del server Web nella posizione richiesta. Sostituire
<web_server.crt>
con il nome del certificato del server Web.$
sudo cp
<web_server.crt>
/etc/pki/nginx/server.crt -
Eseguire il comando seguente per copiare la falsa chiave privata PEM nella posizione richiesta. Sostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa.$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/nginx/private/server.key -
Eseguire il comando seguente per modificare la proprietà dei file in modo che l'utente denominato nginx possa leggerli.
$
sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
-
Eseguire il comando seguente per effettuare il backup del file
/etc/nginx/nginx.conf
.$
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
-
Aggiornamento della configurazione per NGINX.
Nota
Ciascun cluster può supportare un massimo di 1000 processi di lavoro NGINX su tutti i server web NGINX.
- Amazon Linux
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:-
Se si utilizza Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se si utilizza Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Amazon Linux 2
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:-
Se si utilizza Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se si utilizza Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 7
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:-
Se si utilizza Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se si utilizza Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 8
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Red Hat 7
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:-
Se si utilizza Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se si utilizza Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Red Hat 8
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 16.04 LTS
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:ssl_engine cloudhsm; env n3fips_password;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 18.04 LTS
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 20.04 LTS
-
Usare un editor di testo per modificare il file
/etc/nginx/nginx.conf
. Per farlo sono necessarie le autorizzazioni root di Linux. All'inizio del file, aggiungi le seguenti righe:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Quindi aggiungi quanto segue alla sezione TLS del file:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Salva il file.
-
Eseguire il backup del file di configurazione
systemd
, quindi impostare il percorsoEnvironmentFile
.- Amazon Linux
-
Nessuna operazione necessaria.
- Amazon Linux 2
-
-
Effettuare il backup del file
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Aprire il file
/lib/systemd/system/nginx.service
in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
Nessuna operazione necessaria.
- CentOS 8
-
-
Effettuare il backup del file
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Aprire il file
/lib/systemd/system/nginx.service
in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
Nessuna operazione necessaria.
- Red Hat 8
-
-
Effettuare il backup del file
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Aprire il file
/lib/systemd/system/nginx.service
in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
Effettuare il backup del file
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Aprire il file
/lib/systemd/system/nginx.service
in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
Effettuare il backup del file
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Aprire il file
/lib/systemd/system/nginx.service
in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
Effettuare il backup del file
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Aprire il file
/lib/systemd/system/nginx.service
in un editor di testo, quindi nella sezione [Service], aggiungere il percorso seguente:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Controllare se il file
/etc/sysconfig/nginx
esiste, quindi eseguire una delle operazioni seguenti:-
Se il file esiste, effettuare il backup del file eseguendo il seguente comando:
$
sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
-
In caso contrario, aprire un editor di testo, quindi creare un file denominato
nginx
nella cartella/etc/sysconfig/
.
-
-
Configura l'ambiente NGINX.
Nota
Client SDK 5 introduce la variabile di ambiente
CLOUDHSM_PIN
per l'archiviazione delle credenziali del CU.- Amazon Linux
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
-
- Amazon Linux 2
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
-
- CentOS 7
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
-
- CentOS 8
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
- Red Hat 7
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
-
- Red Hat 8
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
- Ubuntu 16.04 LTS
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):n3fips_password=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
- Ubuntu 18.04 LTS
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
- Ubuntu 20.04 LTS
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Salva il file.
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Avviare il server Web NGINX.
- Amazon Linux
-
Apri il file
/etc/sysconfig/nginx
in un editor di testo. Per farlo sono necessarie le autorizzazioni root di Linux. Aggiungi le credenziali del crypto user (CU):$
sudo service nginx start
- Amazon Linux 2
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- CentOS 7
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- CentOS 8
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- Red Hat 7
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- Red Hat 8
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- Ubuntu 16.04 LTS
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- Ubuntu 18.04 LTS
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- Ubuntu 20.04 LTS
-
Interrompi qualsiasi processo NGINX in esecuzione
$
sudo systemctl stop nginx
Ricarica la configurazione
systemd
per implementare le modifiche più recenti$
sudo systemctl daemon-reload
Avvia il processo NGINX
$
sudo systemctl start nginx
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
(Facoltativo) Configura la piattaforma per avviare NGINX all'avvio.
- Amazon Linux
-
$
sudo chkconfig nginx on
- Amazon Linux 2
-
$
sudo systemctl enable nginx
- CentOS 7
-
Nessuna operazione necessaria.
- CentOS 8
-
$
sudo systemctl enable nginx
- Red Hat 7
-
Nessuna operazione necessaria.
- Red Hat 8
-
$
sudo systemctl enable nginx
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Dopo avere aggiornato la configurazione del server Web, vai alla Fase 4: abilitazione del traffico HTTPS e verifica del certificato.
Configurazione del server Web Apache
Fai riferimento a questa sezione per configurare Apache sulle piattaforme supportate.
Per aggiornare la configurazione del server Web per Apache
-
Esegui la connessione all'istanza Amazon EC2.
-
Definisci le posizioni predefinite per i certificati e le chiavi private per la piattaforma.
- Amazon Linux
-
Assicurati che nel file
/etc/httpd/conf.d/ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Amazon Linux 2
-
Assicurati che nel file
/etc/httpd/conf.d/ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 7
-
Assicurati che nel file
/etc/httpd/conf.d/ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 8
-
Assicurati che nel file
/etc/httpd/conf.d/ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 7
-
Assicurati che nel file
/etc/httpd/conf.d/ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 8
-
Assicurati che nel file
/etc/httpd/conf.d/ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Ubuntu 16.04 LTS
-
Assicurati che nel file
/etc/apache2/sites-available/default-ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 18.04 LTS
-
Assicurati che nel file
/etc/apache2/sites-available/default-ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 20.04 LTS
-
Assicurati che nel file
/etc/apache2/sites-available/default-ssl.conf
siano presenti questi valori:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Copia il certificato del server Web nella posizione richiesta per la piattaforma.
- Amazon Linux
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - Amazon Linux 2
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - CentOS 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - CentOS 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - Red Hat 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - Red Hat 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSostituire
<web_server.crt>
con il nome del certificato del server Web. - Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Copia la tua chiave privata PEM falsa nella posizione richiesta per la piattaforma.
- Amazon Linux
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - Amazon Linux 2
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - CentOS 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - CentOS 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - Red Hat 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - Red Hat 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keySostituire
<web_server_fake_PEM.key>
con il nome del file che contiene la chiave privata PEM falsa. - Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Cambia la proprietà di questi file se richiesto dalla piattaforma.
- Amazon Linux
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Fornisce il permesso di lettura all'utente denominato apache.
- Amazon Linux 2
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Fornisce il permesso di lettura all'utente denominato apache.
- CentOS 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Fornisce il permesso di lettura all'utente denominato apache.
- CentOS 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Fornisce il permesso di lettura all'utente denominato apache.
- Red Hat 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Fornisce il permesso di lettura all'utente denominato apache.
- Red Hat 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Fornisce il permesso di lettura all'utente denominato apache.
- Ubuntu 16.04 LTS
-
Nessuna operazione necessaria.
- Ubuntu 18.04 LTS
-
Nessuna operazione necessaria.
- Ubuntu 20.04 LTS
-
Nessuna operazione necessaria.
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Configura le direttive Apache per la piattaforma.
- Amazon Linux
-
Individua il file SSL per questa piattaforma:
/etc/httpd/conf.d/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salva il file.
- Amazon Linux 2
-
Individua il file SSL per questa piattaforma:
/etc/httpd/conf.d/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salva il file.
- CentOS 7
-
Individua il file SSL per questa piattaforma:
/etc/httpd/conf.d/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salva il file.
- CentOS 8
-
Individua il file SSL per questa piattaforma:
/etc/httpd/conf.d/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Salva il file.
- Red Hat 7
-
Individua il file SSL per questa piattaforma:
/etc/httpd/conf.d/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salva il file.
- Red Hat 8
-
Individua il file SSL per questa piattaforma:
/etc/httpd/conf.d/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Salva il file.
- Ubuntu 16.04 LTS
-
Individua il file SSL per questa piattaforma:
/etc/apache2/mods-available/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salva il file.
Abilita il modulo SSL e la configurazione predefinita del sito SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 18.04 LTS
-
Individua il file SSL per questa piattaforma:
/etc/apache2/mods-available/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Salva il file.
Abilita il modulo SSL e la configurazione predefinita del sito SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 20.04 LTS
-
Individua il file SSL per questa piattaforma:
/etc/apache2/mods-available/ssl.conf
Questo file contiene le direttive Apache che definiscono la modalità di esecuzione del server. Le direttive vengono visualizzate a sinistra, seguite da un valore. Utilizza un editor di testo per modificare il file. Per farlo sono necessarie le autorizzazioni root di Linux.
Aggiorna o inserisci le seguenti direttive con questi valori:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Salva il file.
Abilita il modulo SSL e la configurazione predefinita del sito SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Configura un file environment-values per la piattaforma.
- Amazon Linux
-
Nessuna operazione necessaria. I valori dell'ambiente vanno in
/etc/sysconfig/httpd
- Amazon Linux 2
-
Apri il file di servizio httpd:
/lib/systemd/system/httpd.service
Aggiungi quanto segue alla sezione
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 7
-
Apri il file di servizio httpd:
/lib/systemd/system/httpd.service
Aggiungi quanto segue alla sezione
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 8
-
Apri il file di servizio httpd:
/lib/systemd/system/httpd.service
Aggiungi quanto segue alla sezione
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 7
-
Apri il file di servizio httpd:
/lib/systemd/system/httpd.service
Aggiungi quanto segue alla sezione
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 8
-
Apri il file di servizio httpd:
/lib/systemd/system/httpd.service
Aggiungi quanto segue alla sezione
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Ubuntu 16.04 LTS
-
Nessuna operazione necessaria. I valori dell'ambiente vanno in
/etc/sysconfig/httpd
- Ubuntu 18.04 LTS
-
Nessuna operazione necessaria. I valori dell'ambiente vanno in
/etc/sysconfig/httpd
- Ubuntu 20.04 LTS
-
Nessuna operazione necessaria. I valori dell'ambiente vanno in
/etc/sysconfig/httpd
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Imposta una variabile di ambiente contenente le credenziali del crypto user (CU) nel file in cui vengono archiviate le variabili di ambiente per la piattaforma:
- Amazon Linux
-
Utilizza un editor di testo per modificare
/etc/sysconfig/httpd
.-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU. -
- Amazon Linux 2
-
Utilizza un editor di testo per modificare
/etc/sysconfig/httpd
.-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU. -
- CentOS 7
-
Utilizza un editor di testo per modificare
/etc/sysconfig/httpd
.-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU. -
- CentOS 8
-
Utilizza un editor di testo per modificare
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU. - Red Hat 7
-
Utilizza un editor di testo per modificare
/etc/sysconfig/httpd
.-
Se si utilizza Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se si utilizza Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU. -
- Red Hat 8
-
Utilizza un editor di testo per modificare
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Nota
Client SDK 5 introduce la variabile di ambiente
CLOUDHSM_PIN
per l'archiviazione delle credenziali del CU. - Ubuntu 16.04 LTS
-
Utilizza un editor di testo per modificare
/etc/apache2/envvars
.export n3fips_password=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU. - Ubuntu 18.04 LTS
-
Utilizza un editor di testo per modificare
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Nota
Client SDK 5 introduce la variabile di ambiente
CLOUDHSM_PIN
per l'archiviazione delle credenziali del CU. In Client SDK 3 le credenziali del CU sono archiviate nella variabile di ambienten3fips_password
. Client SDK 5 supporta entrambe le variabili di ambiente, ma si consiglia di utilizzareCLOUDHSM_PIN
. - Ubuntu 20.04 LTS
-
Utilizza un editor di testo per modificare
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Sostituisci
<CU user name>
e<password>
con le credenziali del CU.Nota
Client SDK 5 introduce la variabile di ambiente
CLOUDHSM_PIN
per l'archiviazione delle credenziali del CU. In Client SDK 3 le credenziali del CU sono archiviate nella variabile di ambienten3fips_password
. Client SDK 5 supporta entrambe le variabili di ambiente, ma si consiglia di utilizzareCLOUDHSM_PIN
. - Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
Avviare il server Web Apache.
- Amazon Linux
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Ubuntu 16.04 LTS
-
$
sudo service apache2 start
- Ubuntu 18.04 LTS
-
$
sudo service apache2 start
- Ubuntu 20.04 LTS
-
$
sudo service apache2 start
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
-
(Facoltativo) Configura la tua piattaforma per avviare Apache all'avvio.
- Amazon Linux
-
$
sudo chkconfig httpd on
- Amazon Linux 2
-
$
sudo chkconfig httpd on
- CentOS 7
-
$
sudo chkconfig httpd on
- CentOS 8
-
$
systemctl enable httpd
- Red Hat 7
-
$
sudo chkconfig httpd on
- Red Hat 8
-
$
systemctl enable httpd
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 22.04 LTS
-
Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.
Dopo avere aggiornato la configurazione del server Web, vai alla Fase 4: abilitazione del traffico HTTPS e verifica del certificato.