本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:配置 Web 服务器
更新您的网络服务器软件的配置以使用 HTTPS 证书以及在上一步中创建的相应伪造 PEM 私有密钥。切记在开始前备份您现有的证书。这将完成 Linux网络服务器软件的设置,以便借助 AWS CloudHSM进行 SSL/TLS 分载。
完成下述步骤之一。
配置 NGINX网络服务器
使用此部分在支持的平台上配置 NGINX。
更新 NGINX 的网络服务器配置
-
连接到您的客户端实例。
-
运行以下命令以创建网络服务器证书和伪造 PEM 私有密钥所需的目录。
$
sudo mkdir -p /etc/pki/nginx/private
-
运行以下命令以将您的网络服务器证书复制到所需位置。将
<web_server.crt>
替换为您的网络服务器证书的名称。$
sudo cp
<web_server.crt>
/etc/pki/nginx/server.crt -
运行以下命令以将您的伪造 PEM 私有密钥复制到所需位置。将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/nginx/private/server.key -
运行以下命令更改文件所有权,以便名为 nginx 的用户可读取它们。
$
sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
-
运行以下命令可备份
/etc/nginx/nginx.conf
文件。$
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
-
更新 NGINX 的配置。
注意
每个集群最多可在所有 NGINX 网络服务器上支持 1000 NGINX 工作进程。
- Amazon Linux
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password;
-
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Amazon Linux 2
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password;
-
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 7
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password;
-
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- CentOS 8
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Red Hat 7
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:-
如果使用客户端软件开发工具包 3
ssl_engine cloudhsm; env n3fips_password;
-
如果使用客户端软件开发工具包 5
ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
-
- Red Hat 8
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 16.04 LTS
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env n3fips_password;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 18.04 LTS
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 20.04 LTS
-
使用文本编辑器编辑
/etc/nginx/nginx.conf
文件。这需要 Linux 根权限。在文件顶部,添加以下行:ssl_engine cloudhsm; env CLOUDHSM_PIN;
然后将以下内容添加至文件的 TLS 部分:
# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name _; root /usr/share/nginx/html; ssl_certificate "/etc/pki/nginx/server.crt"; ssl_certificate_key "/etc/pki/nginx/private/server.key"; # It is *strongly* recommended to generate unique DH parameters # Generate them with: openssl dhparam -out /etc/pki/nginx/dhparams.pem 2048 #ssl_dhparam "/etc/pki/nginx/dhparams.pem"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA"; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
保存该文件。
-
备份
systemd
配置文件,然后设置EnvironmentFile
路径。- Amazon Linux
-
无需操作。
- Amazon Linux 2
-
-
备份
nginx.service
文件。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
用文本编辑器打开
/lib/systemd/system/nginx.service
文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- CentOS 7
-
无需操作。
- CentOS 8
-
-
备份
nginx.service
文件。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
用文本编辑器打开
/lib/systemd/system/nginx.service
文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Red Hat 7
-
无需操作。
- Red Hat 8
-
-
备份
nginx.service
文件。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
用文本编辑器打开
/lib/systemd/system/nginx.service
文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 16.04
-
-
备份
nginx.service
文件。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
用文本编辑器打开
/lib/systemd/system/nginx.service
文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 18.04
-
-
备份
nginx.service
文件。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
用文本编辑器打开
/lib/systemd/system/nginx.service
文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 20.04 LTS
-
-
备份
nginx.service
文件。$
sudo cp /lib/systemd/system/nginx.service /lib/systemd/system/nginx.service.backup
-
用文本编辑器打开
/lib/systemd/system/nginx.service
文件,然后在 [Service] 部分下添加下列路径:EnvironmentFile=/etc/sysconfig/nginx
-
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
检查
/etc/sysconfig/nginx
文件是否存在,然后执行下列操作之一:-
如果文件存在,请通过运行以下命令备份文件:
$
sudo cp /etc/sysconfig/nginx /etc/sysconfig/nginx.backup
-
如果文件不存在,请打开文本编辑器,然后在
/etc/sysconfig/
文件夹中创建名为nginx
的文件。
-
-
配置 NGINX 环境。
注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN
环境变量。- Amazon Linux
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
-
- Amazon Linux 2
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
-
- CentOS 7
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
-
- CentOS 8
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
- Red Hat 7
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
-
- Red Hat 8
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
- Ubuntu 16.04 LTS
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:n3fips_password=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
- Ubuntu 18.04 LTS
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
- Ubuntu 20.04 LTS
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。保存该文件。
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
启动 NGINX网络服务器。
- Amazon Linux
-
在文本编辑器中打开
/etc/sysconfig/nginx
文件。这需要 Linux 根权限。添加加密用户 (CU) 凭证:$
sudo service nginx start
- Amazon Linux 2
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- CentOS 7
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- CentOS 8
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- Red Hat 7
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- Red Hat 8
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- Ubuntu 16.04 LTS
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- Ubuntu 18.04 LTS
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- Ubuntu 20.04 LTS
-
停止任何运行中的 NGINX 进程
$
sudo systemctl stop nginx
重新加载
systemd
配置以获取最新更改$
sudo systemctl daemon-reload
启动 NGINX 进程
$
sudo systemctl start nginx
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
(可选)将您的平台配置为在开启时启动 NGINX。
- Amazon Linux
-
$
sudo chkconfig nginx on
- Amazon Linux 2
-
$
sudo systemctl enable nginx
- CentOS 7
-
无需操作。
- CentOS 8
-
$
sudo systemctl enable nginx
- Red Hat 7
-
无需操作。
- Red Hat 8
-
$
sudo systemctl enable nginx
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable nginx
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
在更新您的网络服务器配置后,转到步骤 4:启用 HTTPS 流量并验证证书。
配置 Apache 网络服务器
使用此部分在支持的平台上配置 Apache。
更新 Apache 的网络服务器配置
-
连接到您的 Amazon EC2 客户端实例。
-
为您的平台定义默认的凭证和私钥位置。
- Amazon Linux
-
在
/etc/httpd/conf.d/ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Amazon Linux 2
-
在
/etc/httpd/conf.d/ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 7
-
在
/etc/httpd/conf.d/ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- CentOS 8
-
在
/etc/httpd/conf.d/ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 7
-
在
/etc/httpd/conf.d/ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Red Hat 8
-
在
/etc/httpd/conf.d/ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile/etc/pki/tls/private/localhost.key
- Ubuntu 16.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 18.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 20.04 LTS
-
在
/etc/apache2/sites-available/default-ssl.conf
文件中,确保存在以下值:SSLCertificateFile
/etc/ssl/certs/localhost.crt
SSLCertificateKeyFile/etc/ssl/private/localhost.key
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
将您的网络服务器证书复制到平台所需位置。
- Amazon Linux
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - Amazon Linux 2
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - CentOS 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - CentOS 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - Red Hat 7
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - Red Hat 8
-
$
sudo cp
<web_server.crt>
/etc/pki/tls/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server.crt>
/etc/ssl/certs/localhost.crt将
<web_server.crt>
替换为您的网络服务器证书的名称。 - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
将您的虚设 PEM 私钥复制到平台所需的位置。
- Amazon Linux
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Amazon Linux 2
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - CentOS 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - CentOS 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Red Hat 7
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Red Hat 8
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/pki/tls/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 16.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 18.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 20.04 LTS
-
$
sudo cp
<web_server_fake_PEM.key>
/etc/ssl/private/localhost.key将
<web_server_fake_PEM.key>
替换为包含您的伪造 PEM 私有密钥的文件的名称。 - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
如果您的平台需要,可以更改该文件的所有权。
- Amazon Linux
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
为名为apache 的用户提供读取权限。
- Amazon Linux 2
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
为名为apache 的用户提供读取权限。
- CentOS 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
为名为apache 的用户提供读取权限。
- CentOS 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
为名为apache 的用户提供读取权限。
- Red Hat 7
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
为名为apache 的用户提供读取权限。
- Red Hat 8
-
$
sudo chown apache /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key
为名为apache 的用户提供读取权限。
- Ubuntu 16.04 LTS
-
无需操作。
- Ubuntu 18.04 LTS
-
无需操作。
- Ubuntu 20.04 LTS
-
无需操作。
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
为您的平台配置 Apache 指令。
- Amazon Linux
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
保存该文件。
- Amazon Linux 2
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
保存该文件。
- CentOS 7
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
保存该文件。
- CentOS 8
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
保存该文件。
- Red Hat 7
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
保存该文件。
- Red Hat 8
-
找到此平台的 SSL 文件:
/etc/httpd/conf.d/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLProtocolTLSv1.2 TLSv1.3
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProxyCipherSuiteHIGH:!aNULL
保存该文件。
- Ubuntu 16.04 LTS
-
找到此平台的 SSL 文件:
/etc/apache2/mods-available/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
保存该文件。
启用 SSL 模块以及默认 SSL 站点配置:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 18.04 LTS
-
找到此平台的 SSL 文件:
/etc/apache2/mods-available/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
保存该文件。
启用 SSL 模块以及默认 SSL 站点配置:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 20.04 LTS
-
找到此平台的 SSL 文件:
/etc/apache2/mods-available/ssl.conf
此文件包含定义服务器运行方式的 Apache 指令。指令在左侧显示,后面跟值。使用文本编辑器编辑此文件。这需要 Linux 根权限。
通过这些值更新或输入以下指令:
SSLCryptoDevice
cloudhsm
SSLCipherSuiteECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA
SSLProtocolTLSv1.2 TLSv1.3
保存该文件。
启用 SSL 模块以及默认 SSL 站点配置:
$
sudo a2enmod ssl
$
sudo a2ensite default-ssl
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
为您的平台配置环境值文件。
- Amazon Linux
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd
- Amazon Linux 2
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service
在
[Service]
部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 7
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service
在
[Service]
部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd
- CentOS 8
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service
在
[Service]
部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 7
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service
在
[Service]
部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd
- Red Hat 8
-
打开 httpd 服务文件:
/lib/systemd/system/httpd.service
在
[Service]
部分添加以下内容:EnvironmentFile=/etc/sysconfig/httpd
- Ubuntu 16.04 LTS
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd
- Ubuntu 18.04 LTS
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd
- Ubuntu 20.04 LTS
-
无需操作。环境价值被纳入
/etc/sysconfig/httpd
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
在存储平台环境变量的文件中,设置一个包含加密用户 (CU) 凭证的环境变量:
- Amazon Linux
-
使用文本编辑器编辑
/etc/sysconfig/httpd
。-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。 -
- Amazon Linux 2
-
使用文本编辑器编辑
/etc/sysconfig/httpd
。-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。 -
- CentOS 7
-
使用文本编辑器编辑
/etc/sysconfig/httpd
。-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。 -
- CentOS 8
-
使用文本编辑器编辑
/etc/sysconfig/httpd
。CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。 - Red Hat 7
-
使用文本编辑器编辑
/etc/sysconfig/httpd
。-
如果使用客户端软件开发工具包 3
n3fips_password=
<CU user name>
:<password>
-
如果使用客户端软件开发工具包 5
CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。 -
- Red Hat 8
-
使用文本编辑器编辑
/etc/sysconfig/httpd
。CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN
环境变量。 - Ubuntu 16.04 LTS
-
使用文本编辑器编辑
/etc/apache2/envvars
。export n3fips_password=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。 - Ubuntu 18.04 LTS
-
使用文本编辑器编辑
/etc/apache2/envvars
。export CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN
环境变量。在客户端软件开发工具包 3 中,您将 CU 凭据存储在n3fips_password
环境变量中。客户端软件开发工具包 5 支持这两个环境变量,但我们建议使用CLOUDHSM_PIN
。 - Ubuntu 20.04 LTS
-
使用文本编辑器编辑
/etc/apache2/envvars
。export CLOUDHSM_PIN=
<CU user name>
:<password>
将
<CU user name>
和<password>
替换为 CU 凭证。注意
客户端软件开发工具包 5 引入了用于存储 CU 凭证的
CLOUDHSM_PIN
环境变量。在客户端软件开发工具包 3 中,您将 CU 凭据存储在n3fips_password
环境变量中。客户端软件开发工具包 5 支持这两个环境变量,但我们建议使用CLOUDHSM_PIN
。 - Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
启动 Apache网络服务器。
- Amazon Linux
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Amazon Linux 2
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- CentOS 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 7
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Red Hat 8
-
$
sudo systemctl daemon-reload
$
sudo service httpd start
- Ubuntu 16.04 LTS
-
$
sudo service apache2 start
- Ubuntu 18.04 LTS
-
$
sudo service apache2 start
- Ubuntu 20.04 LTS
-
$
sudo service apache2 start
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
-
(可选)将您的平台配置为在开启时启动 Apache。
- Amazon Linux
-
$
sudo chkconfig httpd on
- Amazon Linux 2
-
$
sudo chkconfig httpd on
- CentOS 7
-
$
sudo chkconfig httpd on
- CentOS 8
-
$
systemctl enable httpd
- Red Hat 7
-
$
sudo chkconfig httpd on
- Red Hat 8
-
$
systemctl enable httpd
- Ubuntu 16.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 18.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 20.04 LTS
-
$
sudo systemctl enable apache2
- Ubuntu 22.04 LTS
-
尚不支持 OpenSSL 动态引擎。
在更新您的网络服务器配置后,转到 步骤 4:启用 HTTPS 流量并验证证书。