本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:配置 Web 服务器
更新您的网络服务器软件的配置以使用 HTTPS 证书以及在上一步中创建的相应伪造 PEM 私有密钥。切记在开始前备份您现有的证书。这将完成 Linux网络服务器软件的设置,以便借助 AWS CloudHSM进行 SSL/TLS 分载。
完成下述步骤之一。
配置 NGINX网络服务器
使用此部分在支持的平台上配置 NGINX。
更新 NGINX 的网络服务器配置
-
连接到您的客户端实例。
-
运行以下命令以创建网络服务器证书和伪造 PEM 私有密钥所需的目录。
$sudo mkdir -p /etc/pki/nginx/private -
运行以下命令以将您的网络服务器证书复制到所需位置。将
<web_server.crt>替换为您的网络服务器证书的名称。$sudo cp<web_server.crt>/etc/pki/nginx/server.crt -
运行以下命令以将您的伪造 PEM 私有密钥复制到所需位置。将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。$sudo cp<web_server_fake_PEM.key>/etc/pki/nginx/private/server.key -
运行以下命令更改文件所有权,以便名为 nginx 的用户可读取它们。
$sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key -
运行以下命令可备份
/etc/nginx/nginx.conf文件。$sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup -
更新 NGINX 的配置。
注意
每个集群最多可在所有 NGINX 网络服务器上支持 1000 NGINX 工作进程。
- Amazon Linux
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- Amazon Linux 2
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- CentOS 7
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- CentOS 8
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Red Hat 7
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password; -
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } -
- Red Hat 8
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 16.04 LTS
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env n3fips_password;然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 18.04 LTS
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 20.04 LTS
-
使用文本编辑器编辑
/etc/nginx/nginx.conf文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
保存该文件。
-
备份
systemd配置文件,然后设置EnvironmentFile路径。- Amazon Linux
-
无需操作。
- Amazon Linux 2
-
-
备份
nginx.service文件。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
用文本编辑器打开
/lib/systemd/system/nginx.service文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
无需操作。
- CentOS 8
-
-
备份
nginx.service文件。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
用文本编辑器打开
/lib/systemd/system/nginx.service文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
无需操作。
- Red Hat 8
-
-
备份
nginx.service文件。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
用文本编辑器打开
/lib/systemd/system/nginx.service文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
备份
nginx.service文件。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
用文本编辑器打开
/lib/systemd/system/nginx.service文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
备份
nginx.service文件。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
用文本编辑器打开
/lib/systemd/system/nginx.service文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
备份
nginx.service文件。$sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup -
用文本编辑器打开
/lib/systemd/system/nginx.service文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
检查
/etc/sysconfig/nginx文件是否存在,然后执行下列操作之一:-
如果文件存在,请通过运行以下命令备份文件:
$sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup -
如果文件不存在,请打开文本编辑器,然后在
/etc/sysconfig/文件夹中创建名为nginx的文件。
-
-
配置 NGINX 环境。
注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN环境变量。- Amazon Linux
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
-
- Amazon Linux 2
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
-
- CentOS 7
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
-
- CentOS 8
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
- Red Hat 7
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
-
- Red Hat 8
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
- Ubuntu 16.04 LTS
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:n3fips_password=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
- Ubuntu 18.04 LTS
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
- Ubuntu 20.04 LTS
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。保存该文件。
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
启动 NGINX网络服务器。
- Amazon Linux
-
在文本编辑器中打开
/etc/sysconfig/nginx文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:$sudo service nginx start - Amazon Linux 2
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - CentOS 7
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - CentOS 8
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - Red Hat 7
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - Red Hat 8
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - Ubuntu 16.04 LTS
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - Ubuntu 18.04 LTS
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - Ubuntu 20.04 LTS
-
停止任何运行中的 NGINX 进程
$sudo systemctl stop nginx重新加载
systemd配置以获取最新更改$sudo systemctl daemon-reload启动 NGINX 进程
$sudo systemctl start nginx - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
(可选)将您的平台配置为在开启时启动 NGINX。
- Amazon Linux
-
$sudo chkconfig nginx on - Amazon Linux 2
-
$sudo systemctl enable nginx - CentOS 7
-
无需操作。
- CentOS 8
-
$sudo systemctl enable nginx - Red Hat 7
-
无需操作。
- Red Hat 8
-
$sudo systemctl enable nginx - Ubuntu 16.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 18.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 20.04 LTS
-
$sudo systemctl enable nginx - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
在更新您的网络服务器配置后,转到步骤 4:启用 HTTPS 流量并验证证书。
配置 Apache 网络服务器
使用此部分在支持的平台上配置 Apache。
更新 Apache 的网络服务器配置
-
连接到您的 Amazon EC2 客户端实例。
-
为您的平台定义默认的凭证和私钥位置。
- Amazon Linux
-
在
/etc/httpd/conf.d/ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Amazon Linux 2
-
在
/etc/httpd/conf.d/ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - CentOS 7
-
在
/etc/httpd/conf.d/ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - CentOS 8
-
在
/etc/httpd/conf.d/ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Red Hat 7
-
在
/etc/httpd/conf.d/ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Red Hat 8
-
在
/etc/httpd/conf.d/ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile/etc/pki/tls/private/localhost.key - Ubuntu 16.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 18.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 20.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf文件中,确保存在以下值:SSLCertificateFile/etc/ssl/certs/localhost.crtSSLCertificateKeyFile/etc/ssl/private/localhost.key - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
将您的网络服务器证书复制到平台所需位置。
- Amazon Linux
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - Amazon Linux 2
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - CentOS 7
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - CentOS 8
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - Red Hat 7
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - Red Hat 8
-
$sudo cp<web_server.crt>/etc/pki/tls/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - Ubuntu 16.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - Ubuntu 18.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - Ubuntu 20.04 LTS
-
$sudo cp<web_server.crt>/etc/ssl/certs/localhost.crt将
<web_server.crt>替换为您的网络服务器证书的名称。 - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
将您的虚设 PEM 私钥复制到平台所需的位置。
- Amazon Linux
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Amazon Linux 2
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - CentOS 7
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - CentOS 8
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Red Hat 7
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Red Hat 8
-
$sudo cp<web_server_fake_PEM.key>/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 16.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 18.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 20.04 LTS
-
$sudo cp<web_server_fake_PEM.key>/etc/ssl/private/localhost.key将
<web_server_fake_PEM.key>替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
如果您的平台需要,可以更改该文件的所有权。
- Amazon Linux
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key为名为apache 的用户提供读取权限。
- Amazon Linux 2
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key为名为apache 的用户提供读取权限。
- CentOS 7
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key为名为apache 的用户提供读取权限。
- CentOS 8
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key为名为apache 的用户提供读取权限。
- Red Hat 7
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key为名为apache 的用户提供读取权限。
- Red Hat 8
-
$sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key为名为apache 的用户提供读取权限。
- Ubuntu 16.04 LTS
-
无需操作。
- Ubuntu 18.04 LTS
-
无需操作。
- Ubuntu 20.04 LTS
-
无需操作。
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
为您的平台配置 Apache 指令。
- Amazon Linux
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA保存该文件。
- Amazon Linux 2
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA保存该文件。
- CentOS 7
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA保存该文件。
- CentOS 8
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLProtocolTLSv1.2 TLSv1.3SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProxyCipherSuiteHIGH:!aNULL保存该文件。
- Red Hat 7
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA保存该文件。
- Red Hat 8
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLProtocolTLSv1.2 TLSv1.3SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProxyCipherSuiteHIGH:!aNULL保存该文件。
- Ubuntu 16.04 LTS
-
找到此平台的 SSL 文件:
/etc/apache2/mods-available/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA保存该文件。
启用 SSL 模块以及默认 SSL 站点配置:
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 18.04 LTS
-
找到此平台的 SSL 文件:
/etc/apache2/mods-available/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProtocolTLSv1.2 TLSv1.3保存该文件。
启用 SSL 模块以及默认 SSL 站点配置:
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 20.04 LTS
-
找到此平台的 SSL 文件:
/etc/apache2/mods-available/ssl.conf此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevicecloudhsmSSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHASSLProtocolTLSv1.2 TLSv1.3保存该文件。
启用 SSL 模块以及默认 SSL 站点配置:
$sudo a2enmod ssl$sudo a2ensite default-ssl - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
为您的平台配置环境值文件。
- Amazon Linux
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd - Amazon Linux 2
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service在
[Service]部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd - CentOS 7
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service在
[Service]部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd - CentOS 8
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service在
[Service]部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd - Red Hat 7
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service在
[Service]部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd - Red Hat 8
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service在
[Service]部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd - Ubuntu 16.04 LTS
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd - Ubuntu 18.04 LTS
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd - Ubuntu 20.04 LTS
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
在存储平台环境变量的文件中,设置一个包含加密用户 (CU) 凭证的环境变量:
- Amazon Linux
-
使用文本编辑器编辑
/etc/sysconfig/httpd。-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。 -
- Amazon Linux 2
-
使用文本编辑器编辑
/etc/sysconfig/httpd。-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。 -
- CentOS 7
-
使用文本编辑器编辑
/etc/sysconfig/httpd。-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。 -
- CentOS 8
-
使用文本编辑器编辑
/etc/sysconfig/httpd。CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。 - Red Hat 7
-
使用文本编辑器编辑
/etc/sysconfig/httpd。-
如果使用客户端软件开发工具包 3
n3fips_password=<CU user name>:<password> -
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=<CU user name>:<password>
将
<CU user name>和<password>替换为 CU 凭证。 -
- Red Hat 8
-
使用文本编辑器编辑
/etc/sysconfig/httpd。CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN环境变量。 - Ubuntu 16.04 LTS
-
使用文本编辑器编辑
/etc/apache2/envvars。export n3fips_password=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。 - Ubuntu 18.04 LTS
-
使用文本编辑器编辑
/etc/apache2/envvars。export CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN环境变量。在客户端软件开发工具包 3 中,您将 CU 凭据存储在n3fips_password环境变量中。客户端软件开发工具包 5 支持这两个环境变量,但我们建议使用CLOUDHSM_PIN。 - Ubuntu 20.04 LTS
-
使用文本编辑器编辑
/etc/apache2/envvars。export CLOUDHSM_PIN=<CU user name>:<password>将
<CU user name>和<password>替换为 CU 凭证。注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN环境变量。在客户端软件开发工具包 3 中,您将 CU 凭据存储在n3fips_password环境变量中。客户端软件开发工具包 5 支持这两个环境变量,但我们建议使用CLOUDHSM_PIN。 - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
启动 Apache网络服务器。
- Amazon Linux
-
$sudo systemctl daemon-reload$sudo service httpd start - Amazon Linux 2
-
$sudo systemctl daemon-reload$sudo service httpd start - CentOS 7
-
$sudo systemctl daemon-reload$sudo service httpd start - CentOS 8
-
$sudo systemctl daemon-reload$sudo service httpd start - Red Hat 7
-
$sudo systemctl daemon-reload$sudo service httpd start - Red Hat 8
-
$sudo systemctl daemon-reload$sudo service httpd start - Ubuntu 16.04 LTS
-
$sudo service apache2 start - Ubuntu 18.04 LTS
-
$sudo service apache2 start - Ubuntu 20.04 LTS
-
$sudo service apache2 start - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
(可选)将您的平台配置为在开启时启动 Apache。
- Amazon Linux
-
$sudo chkconfig httpd on - Amazon Linux 2
-
$sudo chkconfig httpd on - CentOS 7
-
$sudo chkconfig httpd on - CentOS 8
-
$systemctl enable httpd - Red Hat 7
-
$sudo chkconfig httpd on - Red Hat 8
-
$systemctl enable httpd - Ubuntu 16.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 18.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 20.04 LTS
-
$sudo systemctl enable apache2 - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
在更新您的网络服务器配置后,转到 步骤 4:启用 HTTPS 流量并验证证书。
