翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 3: ウェブサーバーを設定する
前のステップで作成した HTTPS 証明書とフェイク PEM プライベートキーを使用するようにウェブサーバーソフトウェアの設定を更新します。開始する前に、既存の証明書とキーを必ずバックアップしてください。これで、 AWS CloudHSMを使用して、Linux ウェブサーバーソフトウェアに SSL/TLS オフロードを設定できます。
次のいずれかのセクションの手順を完了します。
NGINX ウェブサーバーを設定する
このセクションは、サポートされているプラットフォームで NGINX を設定するために使用します。
NGINX のウェブサーバー設定を更新するには
-
クライアントインスタンスに接続します。
-
次のコマンドを実行して、ウェブサーバー証明書とフェイク PEM プライベートキーに必要なディレクトリを作成します。
$
sudo mkdir -p /etc/pki/nginx/private
-
次のコマンドを実行して、ウェブサーバーの証明書を所定場所にコピーします。
<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。$
sudo cp
<web_server.crt>
/etc/pki/nginx/server.crt -
次のコマンドを実行して、フェイク PEM プライベートキーを所定場所にコピーします。
<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/nginx/private/server.key -
次のコマンドを実行してファイルの所有権を変更し、nginx という名前のユーザーがそれらのファイルを読み取れるようにします。
$
sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
-
次のコマンドを実行して、
/etc/nginx/nginx.conf
ファイルをバックアップします。$
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
-
NGINX の設定を更新します。
注記
各クラスターは、すべての NGINX ウェブサーバーで最大 1000 の NGINX ワーカープロセスをサポートできます。
- Amazon Linux
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password;
-
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Amazon Linux 2
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password;
-
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 7
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password;
-
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 8
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Red Hat 7
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password;
-
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Red Hat 8
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 16.04 LTS
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env n3fips_password;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 18.04 LTS
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 20.04 LTS
-
テキストエディタを使用して、
/etc/nginx/nginx.conf
ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
ファイルを保存します。
-
systemd
設定ファイルをバックアップしてから、EnvironmentFile
パスを設定します。- Amazon Linux
-
対処は必要ありません。
- Amazon Linux 2
-
-
nginx.service
ファイルをバックアップします。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
/lib/systemd/system/nginx.service
ファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
対処は必要ありません。
- CentOS 8
-
-
nginx.service
ファイルをバックアップします。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
/lib/systemd/system/nginx.service
ファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
対処は必要ありません。
- Red Hat 8
-
-
nginx.service
ファイルをバックアップします。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
/lib/systemd/system/nginx.service
ファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
nginx.service
ファイルをバックアップします。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
/lib/systemd/system/nginx.service
ファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
nginx.service
ファイルをバックアップします。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
/lib/systemd/system/nginx.service
ファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
nginx.service
ファイルをバックアップします。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
/lib/systemd/system/nginx.service
ファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
/etc/sysconfig/nginx
ファイルの存在を確認してから、次のいずれかを実行します。-
ファイルが存在する場合は、次のコマンドを実行してファイルをバックアップします。
$
sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
-
ファイルが存在しない場合は、テキストエディタを開き、
/etc/sysconfig/
フォルダ内にnginx
という名前のファイルを作成します。
-
-
NGINX 環境を設定します。
注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN
環境変数が導入されています。- Amazon Linux
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
-
- Amazon Linux 2
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
-
- CentOS 7
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
-
- CentOS 8
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
- Red Hat 7
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
-
- Red Hat 8
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 16.04 LTS
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:n3fips_password=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 18.04 LTS
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 20.04 LTS
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
NGINX ウェブサーバーを起動します。
- Amazon Linux
-
テキストエディタで
/etc/sysconfig/nginx
ファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:$
sudo service nginx start
- Amazon Linux 2
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- CentOS 7
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- CentOS 8
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- Red Hat 7
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- Red Hat 8
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- Ubuntu 16.04 LTS
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- Ubuntu 18.04 LTS
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- Ubuntu 20.04 LTS
-
実行中の NGINX プロセスをすべて停止する
$
sudo systemctl stop nginx
systemd
設定をリロードして最新の変更を取得する$
sudo systemctl daemon-reload
NGINX プロセスを開始する
$
sudo systemctl start nginx
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
(オプション)スタートアップ時に NGINX を起動するようにプラットフォームを設定します。
- Amazon Linux
-
$
sudo chkconfig nginx on
- Amazon Linux 2
-
$
sudo systemctl enable nginx
- CentOS 7
-
対処は必要ありません。
- CentOS 8
-
$
sudo systemctl enable nginx
- Red Hat 7
-
対処は必要ありません。
- Red Hat 8
-
$
sudo systemctl enable nginx
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
ウェブサーバー設定を更新したら、「ステップ 4: HTTPS トラフィックを有効にして証明書を検証する」に移動します。
Apache ウェブサーバーの設定をします。
このセクションでは、サポートされているプラットフォームで Apache を設定します。
Apache のウェブサーバー設定を更新するには
-
Amazon EC2 クライアントインスタンスに接続します。
-
プラットフォーム用の証明書とプライベートキーのデフォルトの場所を定義します。
- Amazon Linux
-
/etc/httpd/conf.d/ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Amazon Linux 2
-
/etc/httpd/conf.d/ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 7
-
/etc/httpd/conf.d/ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 8
-
/etc/httpd/conf.d/ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 7
-
/etc/httpd/conf.d/ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 8
-
/etc/httpd/conf.d/ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Ubuntu 16.04 LTS
-
/etc/apache2/sites-available/default-ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 18.04 LTS
-
/etc/apache2/sites-available/default-ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 20.04 LTS
-
/etc/apache2/sites-available/default-ssl.conf
ファイルに、次の値が存在することを確認します。SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
ウェブサーバーの証明書を、プラットフォームで必要な場所にコピーします。
- Amazon Linux
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - Amazon Linux 2
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - CentOS 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - CentOS 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - Red Hat 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - Red Hat 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crt<web_server.crt>
を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
偽の PEM プライベートキーをプラットフォームの所定場所にコピーします。
- Amazon Linux
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Amazon Linux 2
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - CentOS 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - CentOS 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Red Hat 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Red Hat 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.key<web_server_fake_PEM.key>
をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォームで必要な場合は、これらのファイルの所有権を変更します。
- Amazon Linux
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
apache という名前のユーザーに読み取り権限を与えます。
- Amazon Linux 2
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
apache という名前のユーザーに読み取り権限を与えます。
- CentOS 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
apache という名前のユーザーに読み取り権限を与えます。
- CentOS 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
apache という名前のユーザーに読み取り権限を与えます。
- Red Hat 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
apache という名前のユーザーに読み取り権限を与えます。
- Red Hat 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
apache という名前のユーザーに読み取り権限を与えます。
- Ubuntu 16.04 LTS
-
対処は必要ありません。
- Ubuntu 18.04 LTS
-
対処は必要ありません。
- Ubuntu 20.04 LTS
-
対処は必要ありません。
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォームに合わせて、Apache のディレクティブを設定します。
- Amazon Linux
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
ファイルを保存します。
- Amazon Linux 2
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
ファイルを保存します。
- CentOS 7
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
ファイルを保存します。
- CentOS 8
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
ファイルを保存します。
- Red Hat 7
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
ファイルを保存します。
- Red Hat 8
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
ファイルを保存します。
- Ubuntu 16.04 LTS
-
このプラットフォームの SSL ファイルを探します。
/etc/apache2/mods-available/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
ファイルを保存します。
SSL モジュールとデフォルトの SSL サイト設定を有効にします。
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 18.04 LTS
-
このプラットフォームの SSL ファイルを探します。
/etc/apache2/mods-available/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
ファイルを保存します。
SSL モジュールとデフォルトの SSL サイト設定を有効にします。
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 20.04 LTS
-
このプラットフォームの SSL ファイルを探します。
/etc/apache2/mods-available/ssl.conf
このファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
ファイルを保存します。
SSL モジュールとデフォルトの SSL サイト設定を有効にします。
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォーム用の環境値ファイルを設定します。
- Amazon Linux
-
対処は必要ありません。
/etc/sysconfig/httpd
に環境値が入ります - Amazon Linux 2
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service
[Service]
セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd
- CentOS 7
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service
[Service]
セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd
- CentOS 8
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service
[Service]
セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 7
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service
[Service]
セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 8
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service
[Service]
セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd
- Ubuntu 16.04 LTS
-
対処は必要ありません。
/etc/sysconfig/httpd
に環境値が入ります - Ubuntu 18.04 LTS
-
対処は必要ありません。
/etc/sysconfig/httpd
に環境値が入ります - Ubuntu 20.04 LTS
-
対処は必要ありません。
/etc/sysconfig/httpd
に環境値が入ります - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォーム用の環境変数を格納するファイルで、暗号化ユーザー (CU) の認証情報を含む環境変数を設定します。
- Amazon Linux
-
テキストエディタを使用して、
/etc/sysconfig/httpd
を編集します。-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。 -
- Amazon Linux 2
-
テキストエディタを使用して、
/etc/sysconfig/httpd
を編集します。-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。 -
- CentOS 7
-
テキストエディタを使用して、
/etc/sysconfig/httpd
を編集します。-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。 -
- CentOS 8
-
テキストエディタを使用して、
/etc/sysconfig/httpd
を編集します。CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。 - Red Hat 7
-
テキストエディタを使用して、
/etc/sysconfig/httpd
を編集します。-
Client SDK 3 を使用している場合
n3fips_password=
<CU user name>
:<password>
-
Client SDK 5 を使用している場合
CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。 -
- Red Hat 8
-
テキストエディタを使用して、
/etc/sysconfig/httpd
を編集します。CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN
環境変数が導入されています。 - Ubuntu 16.04 LTS
-
テキストエディタを使用して、
/etc/apache2/envvars
を編集します。export n3fips_password=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。 - Ubuntu 18.04 LTS
-
テキストエディタを使用して、
/etc/apache2/envvars
を編集します。export CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN
環境変数が導入されています。クライアント SDK 3 では、CU の認証情報をn3fips_password
環境変数に保存していました。クライアント SDK 5 は両方の環境変数をサポートしますが、CLOUDHSM_PIN
を使用することを推奨します。 - Ubuntu 20.04 LTS
-
テキストエディタを使用して、
/etc/apache2/envvars
を編集します。export CLOUDHSM_PIN=
<CU user name>
:<password>
<CU ユーザー名>
と<パスワード>
を CU の認証情報に置き換えます。注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN
環境変数が導入されています。クライアント SDK 3 では、CU の認証情報をn3fips_password
環境変数に保存していました。クライアント SDK 5 は両方の環境変数をサポートしますが、CLOUDHSM_PIN
を使用することを推奨します。 - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
Apache ウェブサーバーを起動します。
- Amazon Linux
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Ubuntu 16.04 LTS
-
$
sudo service apache2 start
- Ubuntu 18.04 LTS
-
$
sudo service apache2 start
- Ubuntu 20.04 LTS
-
$
sudo service apache2 start
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
(オプション) スタートアップに Apache を起動するようにプラットフォームを設定します。
- Amazon Linux
-
$
sudo chkconfig httpd on
- Amazon Linux 2
-
$
sudo chkconfig httpd on
- CentOS 7
-
$
sudo chkconfig httpd on
- CentOS 8
-
$
systemctl enable httpd
- Red Hat 7
-
$
sudo chkconfig httpd on
- Red Hat 8
-
$
systemctl enable httpd
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
ウェブサーバー設定を更新したら、「ステップ 4: HTTPS トラフィックを有効にして証明書を検証する」に移動します。