Configurar o servidor da Web NGINX Configure o servidor Web Apache

Etapa 3: configure o servidor Web

Atualize a configuração do software de servidor web para usar o certificado HTTPS e a chave privada PEM falsa correspondente que você criou na etapa anterior. Lembre-se de fazer backup de seus certificados e chaves existentes antes de começar. Isso concluirá a configuração do software de servidor web do Linux para descarregamento de SSL/TLS com o AWS CloudHSM.

Conclua as etapas de uma das seções a seguir.

Configurar o servidor da Web NGINX

Use esta seção para configurar o NGINX em plataformas compatíveis.

Para atualizar a configuração do servidor web para NGINX

Conecte-se à instância do cliente.
Execute o seguinte comando para criar os diretórios necessários para o certificado do servidor Web e a chave privada PEM falsa.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Execute o seguinte comando para copiar o certificado do seu servidor Web para o local desejado. Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Execute o seguinte comando para copiar sua chave privada PEM falsa no local desejado. Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/nginx/private/server.key
```
Execute o comando a seguir para alterar a propriedade dos arquivos, para que o usuário chamado nginx possa lê-los.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Execute o comando a seguir para fazer backup do arquivo /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Atualizar a configuração para NGINX.

nota

Cada cluster pode suportar no máximo 1000 processos de trabalho do NGINX em todos os servidores Web do NGINX.

Amazon Linux

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Amazon Linux 2

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 7

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.    
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

CentOS 8

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 7

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:

Se estiver usando o Client SDK 3


ssl_engine cloudhsm;
env n3fips_password;

Se estiver usando o Client SDK 5
```
ssl_engine cloudhsm;
env CLOUDHSM_PIN;
```

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Red Hat 8

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
server {
    listen       443 ssl http2 default_server;
    listen       [::]:443 ssl http2 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

    ssl_certificate "/etc/pki/nginx/server.crt";
    ssl_certificate_key "/etc/pki/nginx/private/server.key";
    # It is *strongly* recommended to generate unique DH parameters
    # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
    #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
    ssl_prefer_server_ciphers on;

    # Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

    location / {
    }

    error_page 404 /404.html;
    location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
    }
}

Ubuntu 16.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
    env n3fips_password;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 18.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 20.04 LTS

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
    env CLOUDHSM_PIN;

Em seguida, adicione o seguinte à seção TLS do arquivo:


# Settings for a TLS enabled server.
    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;
    
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        # It is *strongly* recommended to generate unique DH parameters
        # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048
        #ssl_dhparam "/etc/pki/nginx/dhparams.pem";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA";
        ssl_prefer_server_ciphers on;
    
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    
        location / {
        }
    
        error_page 404 /404.html;
        location = /40x.html {
        }
    
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

Salve o arquivo.

Faça o backup do arquivo de configuração systemd e defina o caminho EnvironmentFile.
Amazon Linux

Nenhuma ação necessária.

Amazon Linux 2
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
CentOS 7

Nenhuma ação necessária.

CentOS 8
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Red Hat 7

Nenhuma ação necessária.

Red Hat 8
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 16.04
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 18.04
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 20.04 LTS
Faça backup do arquivo nginx.service.

$ sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup

Abra o arquivo /lib/systemd/system/nginx.service em um editor de texto e, na seção [Serviço], adicione o seguinte caminho:

EnvironmentFile=/etc/sysconfig/nginx
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
Verifique se o arquivo /etc/sysconfig/nginx existe e siga um destes procedimentos:
- Se o arquivo existir, faça backup do arquivo executando o seguinte comando:
```
$ sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
```
- Se o arquivo não existir, abra um editor de texto e crie um arquivo chamado nginx na pasta /etc/sysconfig/.
Configure o ambiente NGINX.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU.
Amazon Linux
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
Amazon Linux 2
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
CentOS 7
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
CentOS 8
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
Red Hat 7
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
Red Hat 8
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
Ubuntu 16.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
n3fips_password=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
Ubuntu 18.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
Ubuntu 20.04 LTS
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

Salve o arquivo.
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
Inicie o servidor web NGINX.
Amazon Linux
Abra o arquivo /etc/sysconfig/nginx em um editor de textos. Isso requer permissões raiz do Linux. Adicione as credenciais do Cryptography User (CU):
```
$ sudo service nginx start
```
Amazon Linux 2
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
CentOS 7
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
CentOS 8
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Red Hat 7
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Red Hat 8
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 16.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 18.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 20.04 LTS
Pare qualquer processo NGINX em execução
```
$ sudo systemctl stop nginx
```
Recarregue a configuração systemd para receber as alterações mais recentes
```
$ sudo systemctl daemon-reload
```
Inicie o processo NGINX
```
$ sudo systemctl start nginx
```
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
(Opcional) Configure sua plataforma para iniciar o NGINX na inicialização.
Amazon Linux
```
$ sudo chkconfig nginx on
```
Amazon Linux 2
```
$ sudo systemctl enable nginx
```
CentOS 7

Nenhuma ação necessária.

CentOS 8
```
$ sudo systemctl enable nginx
```
Red Hat 7

Nenhuma ação necessária.

Red Hat 8
```
$ sudo systemctl enable nginx
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable nginx
```
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

Depois de atualizar a configuração do servidor web, vá para Etapa 4: permitir tráfego HTTPS e verificar o certificado.

Configure o servidor Web Apache

Use esta seção para configurar o Apache em plataformas compatíveis.

Para atualizar a configuração do servidor Web para o Apache

Conecte-se à sua instância do cliente Amazon EC2.

Defina locais padrão para certificados e chaves privadas para sua plataforma.

Amazon Linux

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Amazon Linux 2

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 7

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

CentOS 8

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 7

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Red Hat 8

No arquivo /etc/httpd/conf.d/ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile   /etc/pki/tls/private/localhost.key

Ubuntu 16.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 18.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 20.04 LTS

No arquivo /etc/apache2/sites-available/default-ssl.conf, certifique-se de que esses valores existam:


SSLCertificateFile      /etc/ssl/certs/localhost.crt
SSLCertificateKeyFile   /etc/ssl/private/localhost.key

Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

Copie o certificado do seu servidor web para o local necessário para sua plataforma.
Amazon Linux
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
Amazon Linux 2
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
CentOS 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
CentOS 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
Red Hat 7
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
Red Hat 8
```
$ sudo cp <web_server.crt> /etc/pki/tls/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server.crt> /etc/ssl/certs/localhost.crt
```
Substitua <web_server.crt> pelo nome do seu certificado de servidor Web.
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
Copie sua chave privada PEM falsa para o local necessário para sua plataforma.
Amazon Linux
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
Amazon Linux 2
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
CentOS 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
CentOS 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
Red Hat 7
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
Red Hat 8
```
$ sudo cp <web_server_fake_PEM.key> /etc/pki/tls/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
Ubuntu 16.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
Ubuntu 18.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
Ubuntu 20.04 LTS
```
$ sudo cp <web_server_fake_PEM.key> /etc/ssl/private/localhost.key
```
Substitua <web_server_fake_PEM.key> pelo nome do arquivo que contém a chave privada PEM falsa.
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
Altere a propriedade desses arquivos, se exigido pela sua plataforma.
Amazon Linux
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Amazon Linux 2
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
CentOS 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
CentOS 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Red Hat 7
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Red Hat 8
```
$ sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
```
Forneça permissão de leitura para o usuário chamado apache.
Ubuntu 16.04 LTS

Nenhuma ação necessária.

Ubuntu 18.04 LTS

Nenhuma ação necessária.

Ubuntu 20.04 LTS

Nenhuma ação necessária.

Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

Configure as diretivas do Apache para sua plataforma.

Amazon Linux

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Esse arquivo contém diretivas do Apache que definem como seu servidor deve ser executado. As diretivas aparecem à esquerda, seguidas por um valor. Use um editor de texto para editar esse arquivo. Isso requer permissões raiz do Linux.

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

Amazon Linux 2

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

CentOS 7

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

CentOS 8

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Salve o arquivo.

Red Hat 7

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

Red Hat 8

Localize o arquivo SSL dessa plataforma:


/etc/httpd/conf.d/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLProtocol TLSv1.2 TLSv1.3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuite HIGH:!aNULL

Salve o arquivo.

Ubuntu 16.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 18.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 20.04 LTS

Localize o arquivo SSL dessa plataforma:


/etc/apache2/mods-available/ssl.conf

Atualize ou insira as seguintes diretivas com esses valores:


SSLCryptoDevice cloudhsm
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocol TLSv1.2 TLSv1.3

Salve o arquivo.

Ative o módulo SSL e a configuração padrão do site SSL:


$ sudo a2enmod ssl
$ sudo a2ensite default-ssl

Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

Configure um arquivo de valores de ambiente para sua plataforma.
Amazon Linux

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Amazon Linux 2
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 7
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
CentOS 8
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 7
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Red Hat 8
Abra o arquivo do serviço httpd:
```
/lib/systemd/system/httpd.service
```
Adicione o seguinte à seção do [Service]:
```
EnvironmentFile=/etc/sysconfig/httpd
```
Ubuntu 16.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Ubuntu 18.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Ubuntu 20.04 LTS

Nenhuma ação necessária. Os valores ambientais entram em /etc/sysconfig/httpd

Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.
No arquivo que armazena variáveis de ambiente para sua plataforma, defina uma variável de ambiente que contenha as credenciais do usuário criptográfico (CU):
Amazon Linux
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.
Amazon Linux 2
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.
CentOS 7
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.
CentOS 8
Use um editor de texto para editar o /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.
Red Hat 7
Use um editor de texto para editar o /etc/sysconfig/httpd.
Se estiver usando o Client SDK 3

n3fips_password=<CU user name>:<password>

Se estiver usando o Client SDK 5

CLOUDHSM_PIN=<CU user name>:<password>
Substitua <CU user name> e <password> pelas credenciais do CU.
Red Hat 8
Use um editor de texto para editar o /etc/sysconfig/httpd.
```
CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU.
Ubuntu 16.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export n3fips_password=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.
Ubuntu 18.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambiente n3fips_password. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso de CLOUDHSM_PIN.
Ubuntu 20.04 LTS
Use um editor de texto para editar o /etc/apache2/envvars.
```
export CLOUDHSM_PIN=<CU user name>:<password>
```
Substitua <CU user name> e <password> pelas credenciais do CU.

nota
O Client SDK 5 introduz a variável de ambiente CLOUDHSM_PIN para armazenar as credenciais do CU. No SDK do cliente 3, você armazenou as credenciais da UC na variável de ambiente n3fips_password. O Client SDK 5 é compatível com as duas variáveis de ambiente, mas recomendamos o uso de CLOUDHSM_PIN.
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

Inicie o servidor web Apache.

(Opcional) Configure sua plataforma para iniciar o Apache na inicialização.
Amazon Linux
```
$ sudo chkconfig httpd on
```
Amazon Linux 2
```
$ sudo chkconfig httpd on
```
CentOS 7
```
$ sudo chkconfig httpd on
```
CentOS 8
```
$ systemctl enable httpd
```
Red Hat 7
```
$ sudo chkconfig httpd on
```
Red Hat 8
```
$ systemctl enable httpd
```
Ubuntu 16.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 18.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 20.04 LTS
```
$ sudo systemctl enable apache2
```
Ubuntu 22.04 LTS

O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

Depois de atualizar a configuração do servidor web, vá para Etapa 4: permitir tráfego HTTPS e verificar o certificado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

2: gerar chave

4: Verificar