翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 3: ウェブサーバーを設定する
前のステップで作成した HTTPS 証明書とフェイク PEM プライベートキーを使用するようにウェブサーバーソフトウェアの設定を更新します。開始する前に、既存の証明書とキーを必ずバックアップしてください。これで、 AWS CloudHSMを使用して、Linux ウェブサーバーソフトウェアに SSL/TLS オフロードを設定できます。
次のいずれかのセクションの手順を完了します。
NGINX ウェブサーバーを設定する
このセクションは、サポートされているプラットフォームで NGINX を設定するために使用します。
NGINX のウェブサーバー設定を更新するには
-
クライアントインスタンスに接続します。
-
次のコマンドを実行して、ウェブサーバー証明書とフェイク PEM プライベートキーに必要なディレクトリを作成します。
$sudo mkdir -p /etc/pki/nginx/private -
次のコマンドを実行して、ウェブサーバーの証明書を所定場所にコピーします。
<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。$sudo cp<web_server.crt>/etc/pki/nginx/server.crt -
次のコマンドを実行して、フェイク PEM プライベートキーを所定場所にコピーします。
<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。$sudo cp<web_server_fake_PEM.key>/etc/pki/nginx/private/server.key -
次のコマンドを実行してファイルの所有権を変更し、nginx という名前のユーザーがそれらのファイルを読み取れるようにします。
$sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key -
次のコマンドを実行して、
/etc/nginx/nginx.confファイルをバックアップします。$sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup -
NGINX の設定を更新します。
注記
各クラスターは、すべての NGINX ウェブサーバーで最大 1000 の NGINX ワーカープロセスをサポートできます。
- Amazon Linux
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password; -
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- Amazon Linux 2
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password; -
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- CentOS 7
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password; -
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- CentOS 8
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Red Hat 7
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。-
Client SDK 3 を使用している場合
ssl_engine cloudhsm; env n3fips_password; -
Client SDK 5 を使用している場合
ssl_engine cloudhsm; env CLOUDHSM_PIN;
次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- Red Hat 8
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 16.04 LTS
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env n3fips_password;次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 18.04 LTS
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 20.04 LTS
-
テキストエディタを使用して、
/etc/nginx/nginx.confファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。ssl_engine cloudhsm; env CLOUDHSM_PIN;次に、ファイルの TLS セクションに次の内容を追加します。
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
ファイルを保存します。
-
systemd設定ファイルをバックアップしてから、EnvironmentFileパスを設定します。- Amazon Linux
-
対処は必要ありません。
- Amazon Linux 2
-
-
nginx.serviceファイルをバックアップします。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
/lib/systemd/system/nginx.serviceファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
対処は必要ありません。
- CentOS 8
-
-
nginx.serviceファイルをバックアップします。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
/lib/systemd/system/nginx.serviceファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
対処は必要ありません。
- Red Hat 8
-
-
nginx.serviceファイルをバックアップします。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
/lib/systemd/system/nginx.serviceファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
nginx.serviceファイルをバックアップします。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
/lib/systemd/system/nginx.serviceファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
nginx.serviceファイルをバックアップします。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
/lib/systemd/system/nginx.serviceファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
nginx.serviceファイルをバックアップします。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
/lib/systemd/system/nginx.serviceファイルをテキストエディタで開き、[Service] セクションに次のパスを追加します。EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
/etc/sysconfig/nginxファイルの存在を確認してから、次のいずれかを実行します。-
ファイルが存在する場合は、次のコマンドを実行してファイルをバックアップします。
$sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup -
ファイルが存在しない場合は、テキストエディタを開き、
/etc/sysconfig/フォルダ内にnginxという名前のファイルを作成します。
-
-
NGINX 環境を設定します。
注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN環境変数が導入されています。- Amazon Linux
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
-
- Amazon Linux 2
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
-
- CentOS 7
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
-
- CentOS 8
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
- Red Hat 7
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
-
- Red Hat 8
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 16.04 LTS
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:n3fips_password=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 18.04 LTS
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 20.04 LTS
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。ファイルを保存します。
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
NGINX ウェブサーバーを起動します。
- Amazon Linux
-
テキストエディタで
/etc/sysconfig/nginxファイルを開きます。これには Linux の root 権限が必要です。Cryptography User (CU) 認証情報を追加:$sudo service nginx start - Amazon Linux 2
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - CentOS 7
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - CentOS 8
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - Red Hat 7
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - Red Hat 8
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - Ubuntu 16.04 LTS
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - Ubuntu 18.04 LTS
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - Ubuntu 20.04 LTS
-
実行中の NGINX プロセスをすべて停止する
$sudo systemctl stop nginxsystemd設定をリロードして最新の変更を取得する$sudo systemctl daemon-reloadNGINX プロセスを開始する
$sudo systemctl start nginx - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
(オプション)スタートアップ時に NGINX を起動するようにプラットフォームを設定します。
- Amazon Linux
-
$sudo chkconfig nginx on - Amazon Linux 2
-
$sudo systemctl enable nginx - CentOS 7
-
対処は必要ありません。
- CentOS 8
-
$sudo systemctl enable nginx - Red Hat 7
-
対処は必要ありません。
- Red Hat 8
-
$sudo systemctl enable nginx - Ubuntu 16.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 18.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 20.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
ウェブサーバー設定を更新したら、「ステップ 4: HTTPS トラフィックを有効にして証明書を検証する」に移動します。
Apache ウェブサーバーの設定をします。
このセクションでは、サポートされているプラットフォームで Apache を設定します。
Apache のウェブサーバー設定を更新するには
-
Amazon EC2 クライアントインスタンスに接続します。
-
プラットフォーム用の証明書とプライベートキーのデフォルトの場所を定義します。
- Amazon Linux
-
/etc/httpd/conf.d/ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Amazon Linux 2
-
/etc/httpd/conf.d/ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - CentOS 7
-
/etc/httpd/conf.d/ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - CentOS 8
-
/etc/httpd/conf.d/ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Red Hat 7
-
/etc/httpd/conf.d/ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Red Hat 8
-
/etc/httpd/conf.d/ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Ubuntu 16.04 LTS
-
/etc/apache2/sites-available/default-ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 18.04 LTS
-
/etc/apache2/sites-available/default-ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 20.04 LTS
-
/etc/apache2/sites-available/default-ssl.confファイルに、次の値が存在することを確認します。SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
ウェブサーバーの証明書を、プラットフォームで必要な場所にコピーします。
- Amazon Linux
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - Amazon Linux 2
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - CentOS 7
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - CentOS 8
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - Red Hat 7
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - Red Hat 8
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 16.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 18.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 20.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt<web_server.crt>を、ウェブサーバー証明書の名前に置き換えます。 - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
偽の PEM プライベートキーをプラットフォームの所定場所にコピーします。
- Amazon Linux
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Amazon Linux 2
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - CentOS 7
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - CentOS 8
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Red Hat 7
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Red Hat 8
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 16.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 18.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 20.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key<web_server_fake_PEM.key>をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。 - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォームで必要な場合は、これらのファイルの所有権を変更します。
- Amazon Linux
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.keyapache という名前のユーザーに読み取り権限を与えます。
- Amazon Linux 2
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.keyapache という名前のユーザーに読み取り権限を与えます。
- CentOS 7
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.keyapache という名前のユーザーに読み取り権限を与えます。
- CentOS 8
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.keyapache という名前のユーザーに読み取り権限を与えます。
- Red Hat 7
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.keyapache という名前のユーザーに読み取り権限を与えます。
- Red Hat 8
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.keyapache という名前のユーザーに読み取り権限を与えます。
- Ubuntu 16.04 LTS
-
対処は必要ありません。
- Ubuntu 18.04 LTS
-
対処は必要ありません。
- Ubuntu 20.04 LTS
-
対処は必要ありません。
- Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォームに合わせて、Apache のディレクティブを設定します。
- Amazon Linux
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHAファイルを保存します。
- Amazon Linux 2
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHAファイルを保存します。
- CentOS 7
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHAファイルを保存します。
- CentOS 8
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLProtocolTLSv1.2 TLSv1.3SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProxyCipherSuiteHIGH:!aNULLファイルを保存します。
- Red Hat 7
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHAファイルを保存します。
- Red Hat 8
-
このプラットフォームの SSL ファイルを探します。
/etc/httpd/conf.d/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLProtocolTLSv1.2 TLSv1.3SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProxyCipherSuiteHIGH:!aNULLファイルを保存します。
- Ubuntu 16.04 LTS
-
このプラットフォームの SSL ファイルを探します。
/etc/apache2/mods-available/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHAファイルを保存します。
SSL モジュールとデフォルトの SSL サイト設定を有効にします。
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 18.04 LTS
-
このプラットフォームの SSL ファイルを探します。
/etc/apache2/mods-available/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProtocolTLSv1.2 TLSv1.3ファイルを保存します。
SSL モジュールとデフォルトの SSL サイト設定を有効にします。
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 20.04 LTS
-
このプラットフォームの SSL ファイルを探します。
/etc/apache2/mods-available/ssl.confこのファイルには、サーバーの実行方法を定義する Apache ディレクティブが含まれています。ディレクティブは左側に表示され、その後に値が続きます。テキストエディタを使用して、このファイルを編集します。これには Linux の root 権限が必要です。
これらの値を使用して、次のディレクティブを更新または入力します。
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProtocolTLSv1.2 TLSv1.3ファイルを保存します。
SSL モジュールとデフォルトの SSL サイト設定を有効にします。
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォーム用の環境値ファイルを設定します。
- Amazon Linux
-
対処は必要ありません。
/etc/sysconfig/httpdに環境値が入ります - Amazon Linux 2
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service[Service]セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd - CentOS 7
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service[Service]セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd - CentOS 8
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service[Service]セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd - Red Hat 7
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service[Service]セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd - Red Hat 8
-
httpd サービスファイルを開きます。
/lib/systemd/system/httpd.service[Service]セクションの下に、以下を追加します。EnvironmentFile=/etc/sysconfig/httpd - Ubuntu 16.04 LTS
-
対処は必要ありません。
/etc/sysconfig/httpdに環境値が入ります - Ubuntu 18.04 LTS
-
対処は必要ありません。
/etc/sysconfig/httpdに環境値が入ります - Ubuntu 20.04 LTS
-
対処は必要ありません。
/etc/sysconfig/httpdに環境値が入ります - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
プラットフォーム用の環境変数を格納するファイルで、暗号化ユーザー (CU) の認証情報を含む環境変数を設定します。
- Amazon Linux
-
テキストエディタを使用して、
/etc/sysconfig/httpdを編集します。-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。 -
- Amazon Linux 2
-
テキストエディタを使用して、
/etc/sysconfig/httpdを編集します。-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。 -
- CentOS 7
-
テキストエディタを使用して、
/etc/sysconfig/httpdを編集します。-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。 -
- CentOS 8
-
テキストエディタを使用して、
/etc/sysconfig/httpdを編集します。CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。 - Red Hat 7
-
テキストエディタを使用して、
/etc/sysconfig/httpdを編集します。-
Client SDK 3 を使用している場合
n3fips_password=<CU user name>:<password> -
Client SDK 5 を使用している場合
CLOUDHSM_PIN=<CU user name>:<password>
<CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。 -
- Red Hat 8
-
テキストエディタを使用して、
/etc/sysconfig/httpdを編集します。CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN環境変数が導入されています。 - Ubuntu 16.04 LTS
-
テキストエディタを使用して、
/etc/apache2/envvarsを編集します。export n3fips_password=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。 - Ubuntu 18.04 LTS
-
テキストエディタを使用して、
/etc/apache2/envvarsを編集します。export CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN環境変数が導入されています。クライアント SDK 3 では、CU の認証情報をn3fips_password環境変数に保存していました。クライアント SDK 5 は両方の環境変数をサポートしますが、CLOUDHSM_PINを使用することを推奨します。 - Ubuntu 20.04 LTS
-
テキストエディタを使用して、
/etc/apache2/envvarsを編集します。export CLOUDHSM_PIN=<CU user name>:<password><CU ユーザー名>と<パスワード>を CU の認証情報に置き換えます。注記
クライアント SDK 5 では CU の認証情報を保存するための
CLOUDHSM_PIN環境変数が導入されています。クライアント SDK 3 では、CU の認証情報をn3fips_password環境変数に保存していました。クライアント SDK 5 は両方の環境変数をサポートしますが、CLOUDHSM_PINを使用することを推奨します。 - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
Apache ウェブサーバーを起動します。
- Amazon Linux
-
$sudo systemctl daemon-reload$sudo service httpd start - Amazon Linux 2
-
$sudo systemctl daemon-reload$sudo service httpd start - CentOS 7
-
$sudo systemctl daemon-reload$sudo service httpd start - CentOS 8
-
$sudo systemctl daemon-reload$sudo service httpd start - Red Hat 7
-
$sudo systemctl daemon-reload$sudo service httpd start - Red Hat 8
-
$sudo systemctl daemon-reload$sudo service httpd start - Ubuntu 16.04 LTS
-
$sudo service apache2 start - Ubuntu 18.04 LTS
-
$sudo service apache2 start - Ubuntu 20.04 LTS
-
$sudo service apache2 start - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
-
(オプション) スタートアップに Apache を起動するようにプラットフォームを設定します。
- Amazon Linux
-
$sudo chkconfig httpd on - Amazon Linux 2
-
$sudo chkconfig httpd on - CentOS 7
-
$sudo chkconfig httpd on - CentOS 8
-
$systemctl enable httpd - Red Hat 7
-
$sudo chkconfig httpd on - Red Hat 8
-
$systemctl enable httpd - Ubuntu 16.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 18.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 20.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 22.04 LTS
-
OpenSSL Dynamic Engine はまだサポートされていません。
ウェブサーバー設定を更新したら、「ステップ 4: HTTPS トラフィックを有効にして証明書を検証する」に移動します。
