As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 3: configure o servidor Web
Atualize a configuração do software de servidor web para usar o certificado HTTPS e a chave privada PEM falsa correspondente que você criou na etapa anterior. Lembre-se de fazer backup de seus certificados e chaves existentes antes de começar. Isso concluirá a configuração do software de servidor web do Linux para descarregamento de SSL/TLS com o AWS CloudHSM.
Conclua as etapas de uma das seções a seguir.
Configurar o servidor da Web NGINX
Use esta seção para configurar o NGINX em plataformas compatíveis.
Para atualizar a configuração do servidor web para NGINX
-
Conecte-se à instância do cliente.
-
Execute o seguinte comando para criar os diretórios necessários para o certificado do servidor Web e a chave privada PEM falsa.
$
sudo mkdir -p /etc/pki/nginx/private
-
Execute o seguinte comando para copiar o certificado do seu servidor Web para o local desejado. Substitua
<web_server.crt>
pelo nome do seu certificado de servidor Web.$
sudo cp
<web_server.crt>
/etc/pki/nginx/server.crt -
Execute o seguinte comando para copiar sua chave privada PEM falsa no local desejado. Substitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa.$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/nginx/private/server.key -
Execute o comando a seguir para alterar a propriedade dos arquivos, para que o usuário chamado nginx possa lê-los.
$
sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
-
Execute o comando a seguir para fazer backup do arquivo
/etc/nginx/nginx.conf
.$
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
-
Atualizar a configuração para NGINX.
nota
Cada cluster pode suportar no máximo 1000 processos de trabalho do NGINX em todos os servidores Web do NGINX.
- Amazon Linux
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:-
Se estiver usando o Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se estiver usando o Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Amazon Linux 2
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:-
Se estiver usando o Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se estiver usando o Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 7
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:-
Se estiver usando o Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se estiver usando o Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 8
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Red Hat 7
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:-
Se estiver usando o Client SDK 3
ssl_engine cloudhsm; env n3fips_password;
-
Se estiver usando o Client SDK 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Red Hat 8
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 16.04 LTS
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:ssl_engine cloudhsm; env n3fips_password;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 18.04 LTS
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 20.04 LTS
-
Use um editor de texto para editar o arquivo
/etc/nginx/nginx.conf
. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:ssl_engine cloudhsm; env CLOUDHSM_PIN;
Em seguida, adicione o seguinte à seção TLS do arquivo:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
Salve o arquivo.
-
Faça o backup do arquivo de configuração
systemd
e defina o caminhoEnvironmentFile
.- Amazon Linux
-
Nenhuma ação necessária.
- Amazon Linux 2
-
-
Faça backup do arquivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra o arquivo
/lib/systemd/system/nginx.service
em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
Nenhuma ação necessária.
- CentOS 8
-
-
Faça backup do arquivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra o arquivo
/lib/systemd/system/nginx.service
em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
Nenhuma ação necessária.
- Red Hat 8
-
-
Faça backup do arquivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra o arquivo
/lib/systemd/system/nginx.service
em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
Faça backup do arquivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra o arquivo
/lib/systemd/system/nginx.service
em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
Faça backup do arquivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra o arquivo
/lib/systemd/system/nginx.service
em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
Faça backup do arquivo
nginx.service
.$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
Abra o arquivo
/lib/systemd/system/nginx.service
em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Verifique se o arquivo
/etc/sysconfig/nginx
existe e siga um destes procedimentos:-
Se o arquivo existir, faça backup do arquivo executando o seguinte comando:
$
sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
-
Se o arquivo não existir, abra um editor de texto e crie um arquivo chamado
nginx
na pasta/etc/sysconfig/
.
-
-
Configure o ambiente NGINX.
nota
O Client SDK 5 introduz a variável de ambiente
CLOUDHSM_PIN
para armazenar as credenciais do CU.- Amazon Linux
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
-
- Amazon Linux 2
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
-
- CentOS 7
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
-
- CentOS 8
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
- Red Hat 7
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
-
- Red Hat 8
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
- Ubuntu 16.04 LTS
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):n3fips_password=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
- Ubuntu 18.04 LTS
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
- Ubuntu 20.04 LTS
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.Salve o arquivo.
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Inicie o servidor web NGINX.
- Amazon Linux
-
Abra o arquivo
/etc/sysconfig/nginx
em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):$
sudo service nginx start
- Amazon Linux 2
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- CentOS 7
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- CentOS 8
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- Red Hat 7
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- Red Hat 8
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- Ubuntu 16.04 LTS
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- Ubuntu 18.04 LTS
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- Ubuntu 20.04 LTS
-
Pare qualquer processo NGINX em execução
$
sudo systemctl stop nginx
Recarregue a configuração
systemd
para receber as alterações mais recentes$
sudo systemctl daemon-reload
Inicie o processo NGINX
$
sudo systemctl start nginx
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
(Opcional) Configure sua plataforma para iniciar o NGINX na inicialização.
- Amazon Linux
-
$
sudo chkconfig nginx on
- Amazon Linux 2
-
$
sudo systemctl enable nginx
- CentOS 7
-
Nenhuma ação necessária.
- CentOS 8
-
$
sudo systemctl enable nginx
- Red Hat 7
-
Nenhuma ação necessária.
- Red Hat 8
-
$
sudo systemctl enable nginx
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
Depois de atualizar a configuração do servidor web, vá para Etapa 4: permitir tráfego HTTPS e verificar o certificado.
Configure o servidor Web Apache
Use esta seção para configurar o Apache em plataformas compatíveis.
Para atualizar a configuração do servidor Web para o Apache
-
Conecte-se à sua instância do cliente Amazon EC2.
-
Defina locais padrão para certificados e chaves privadas para sua plataforma.
- Amazon Linux
-
No arquivo
/etc/httpd/conf.d/ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Amazon Linux 2
-
No arquivo
/etc/httpd/conf.d/ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 7
-
No arquivo
/etc/httpd/conf.d/ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 8
-
No arquivo
/etc/httpd/conf.d/ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 7
-
No arquivo
/etc/httpd/conf.d/ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 8
-
No arquivo
/etc/httpd/conf.d/ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Ubuntu 16.04 LTS
-
No arquivo
/etc/apache2/sites-available/default-ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 18.04 LTS
-
No arquivo
/etc/apache2/sites-available/default-ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 20.04 LTS
-
No arquivo
/etc/apache2/sites-available/default-ssl.conf
, certifique-se de que esses valores existam:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Copie o certificado do seu servidor web para o local necessário para sua plataforma.
- Amazon Linux
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - Amazon Linux 2
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - CentOS 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - CentOS 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - Red Hat 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - Red Hat 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crtSubstitua
<web_server.crt>
pelo nome do seu certificado de servidor Web. - Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Copie sua chave privada PEM falsa para o local necessário para sua plataforma.
- Amazon Linux
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - Amazon Linux 2
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - CentOS 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - CentOS 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - Red Hat 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - Red Hat 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.keySubstitua
<web_server_fake_PEM.key>
pelo nome do arquivo que contém a chave privada PEM falsa. - Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Altere a propriedade desses arquivos, se exigido pela sua plataforma.
- Amazon Linux
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Forneça permissão de leitura para o usuário chamado apache.
- Amazon Linux 2
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Forneça permissão de leitura para o usuário chamado apache.
- CentOS 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Forneça permissão de leitura para o usuário chamado apache.
- CentOS 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Forneça permissão de leitura para o usuário chamado apache.
- Red Hat 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Forneça permissão de leitura para o usuário chamado apache.
- Red Hat 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
Forneça permissão de leitura para o usuário chamado apache.
- Ubuntu 16.04 LTS
-
Nenhuma ação necessária.
- Ubuntu 18.04 LTS
-
Nenhuma ação necessária.
- Ubuntu 20.04 LTS
-
Nenhuma ação necessária.
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Configure as diretivas do Apache para sua plataforma.
- Amazon Linux
-
Localize o arquivo SSL dessa plataforma:
/etc/httpd/conf.d/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salve o arquivo.
- Amazon Linux 2
-
Localize o arquivo SSL dessa plataforma:
/etc/httpd/conf.d/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salve o arquivo.
- CentOS 7
-
Localize o arquivo SSL dessa plataforma:
/etc/httpd/conf.d/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salve o arquivo.
- CentOS 8
-
Localize o arquivo SSL dessa plataforma:
/etc/httpd/conf.d/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Salve o arquivo.
- Red Hat 7
-
Localize o arquivo SSL dessa plataforma:
/etc/httpd/conf.d/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salve o arquivo.
- Red Hat 8
-
Localize o arquivo SSL dessa plataforma:
/etc/httpd/conf.d/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
Salve o arquivo.
- Ubuntu 16.04 LTS
-
Localize o arquivo SSL dessa plataforma:
/etc/apache2/mods-available/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
Salve o arquivo.
Ative o módulo SSL e a configuração padrão do site SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 18.04 LTS
-
Localize o arquivo SSL dessa plataforma:
/etc/apache2/mods-available/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Salve o arquivo.
Ative o módulo SSL e a configuração padrão do site SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 20.04 LTS
-
Localize o arquivo SSL dessa plataforma:
/etc/apache2/mods-available/ssl.conf
Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.
Atualize ou insira as seguintes diretivas com esses valores:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
Salve o arquivo.
Ative o módulo SSL e a configuração padrão do site SSL:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Configure um arquivo de valores de ambiente para sua plataforma.
- Amazon Linux
-
Nenhuma ação necessária. Os valores ambientais entram em
/etc/sysconfig/httpd
- Amazon Linux 2
-
Abra o arquivo do serviço httpd:
/lib/systemd/system/httpd.service
Adicione o seguinte à seção do
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 7
-
Abra o arquivo do serviço httpd:
/lib/systemd/system/httpd.service
Adicione o seguinte à seção do
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 8
-
Abra o arquivo do serviço httpd:
/lib/systemd/system/httpd.service
Adicione o seguinte à seção do
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 7
-
Abra o arquivo do serviço httpd:
/lib/systemd/system/httpd.service
Adicione o seguinte à seção do
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 8
-
Abra o arquivo do serviço httpd:
/lib/systemd/system/httpd.service
Adicione o seguinte à seção do
[Service]
:EnvironmentFile=/etc/sysconfig/httpd
- Ubuntu 16.04 LTS
-
Nenhuma ação necessária. Os valores ambientais entram em
/etc/sysconfig/httpd
- Ubuntu 18.04 LTS
-
Nenhuma ação necessária. Os valores ambientais entram em
/etc/sysconfig/httpd
- Ubuntu 20.04 LTS
-
Nenhuma ação necessária. Os valores ambientais entram em
/etc/sysconfig/httpd
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
No arquivo que armazena variáveis de ambiente para sua plataforma, defina uma variável de ambiente que contenha as credenciais do usuário criptográfico (CU):
- Amazon Linux
-
Use um editor de texto para editar o
/etc/sysconfig/httpd
.-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU. -
- Amazon Linux 2
-
Use um editor de texto para editar o
/etc/sysconfig/httpd
.-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU. -
- CentOS 7
-
Use um editor de texto para editar o
/etc/sysconfig/httpd
.-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU. -
- CentOS 8
-
Use um editor de texto para editar o
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU. - Red Hat 7
-
Use um editor de texto para editar o
/etc/sysconfig/httpd
.-
Se estiver usando o Client SDK 3
n3fips_password=
<CU user name>
:<password>
-
Se estiver usando o Client SDK 5
CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU. -
- Red Hat 8
-
Use um editor de texto para editar o
/etc/sysconfig/httpd
.CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.nota
O Client SDK 5 introduz a variável de ambiente
CLOUDHSM_PIN
para armazenar as credenciais do CU. - Ubuntu 16.04 LTS
-
Use um editor de texto para editar o
/etc/apache2/envvars
.export n3fips_password=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU. - Ubuntu 18.04 LTS
-
Use um editor de texto para editar o
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.nota
O Client SDK 5 introduz a variável de ambiente
CLOUDHSM_PIN
para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambienten3fips_password
. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso deCLOUDHSM_PIN
. - Ubuntu 20.04 LTS
-
Use um editor de texto para editar o
/etc/apache2/envvars
.export CLOUDHSM_PIN=
<CU user name>
:<password>
Substitua
<CU user name>
e<password>
pelas credenciais do CU.nota
O Client SDK 5 introduz a variável de ambiente
CLOUDHSM_PIN
para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambienten3fips_password
. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso deCLOUDHSM_PIN
. - Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
Inicie o servidor web Apache.
- Amazon Linux
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Ubuntu 16.04 LTS
-
$
sudo service apache2 start
- Ubuntu 18.04 LTS
-
$
sudo service apache2 start
- Ubuntu 20.04 LTS
-
$
sudo service apache2 start
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
-
(Opcional) Configure sua plataforma para iniciar o Apache na inicialização.
- Amazon Linux
-
$
sudo chkconfig httpd on
- Amazon Linux 2
-
$
sudo chkconfig httpd on
- CentOS 7
-
$
sudo chkconfig httpd on
- CentOS 8
-
$
systemctl enable httpd
- Red Hat 7
-
$
sudo chkconfig httpd on
- Red Hat 8
-
$
systemctl enable httpd
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 22.04 LTS
-
O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
Depois de atualizar a configuração do servidor web, vá para Etapa 4: permitir tráfego HTTPS e verificar o certificado.